ESET Research betont, dass die Vielfalt, Anzahl und Einzigartigkeit bei der Ausführung der gezielten Angriffe von Lazarus die Hauptmerkmale dieses Clusters sind, und stellt fest, dass Cyber-Bug-Aktivitäten alle drei Hauptmerkmale aufweisen: Cyber-Spionage, Cyber-Sabotage und finanzielle Profite.
Die Razzien, die mit speziell entwickelten Phishing-E-Mails begannen, die böswillige Amazon-Dokumente enthielten, richteten sich gegen einen Mitarbeiter eines Luftfahrtunternehmens in den Niederlanden und einen politischen Journalisten in Belgien. Das Hauptziel der Angreifer war Informationsdiebstahl. Beiden Opfern wurden Stellenangebote angeboten. Über LinkedIn Communication wurde ein Anhang an den Mitarbeiter in den Niederlanden gesendet, und der Journalist in Belgien erhielt einen Papierkram per E-Mail. Die Angriffe begannen, nachdem diese Dokumente geöffnet wurden. Die Angreifer platzierten verschiedene schädliche Tools und HTTP(S)-Loader auf dem System, darunter Dropper, Loader und HTTP(S)-Afterdoors mit vollem Funktionsumfang.
Das wertvollste Werkzeug, das die Angreifer einschlugen, war das Benutzermodusmodul, das aufgrund der Schwachstelle CVE-2021-21551 in einem legitimen Dell-Treiber die Fähigkeit erhielt, Kernelspeicher zu lesen und zu schreiben. Da diese Schwachstelle Dell DBUtil-Treiber betrifft, hat Dell im Mai 2021 ein Sicherheitsupdate veröffentlicht.
‚Systematisch organisierte Großgruppenarbeit‘
ESET-Forscher, der gehackte Angriffe entdeckte Peter Kalnai,In seiner Erklärung sagte er: „Angreifer können die Registrierung, das Dokumentensystem, die Prozesserstellung, die Ereignisüberwachung usw. des Windows-Betriebssystems ausnutzen. verwendete Kernelspeicher-Schreibzugriff, um die sieben Mechanismen zu deaktivieren, die er zur Überwachung seiner Bewegungen anbietet. Es hat die Sicherheitsanalyse ziemlich gründlich und fest deaktiviert. All dies wurde effektiv unter Verwendung einer Reihe kleinerer oder undokumentierter Windows-Interna sowie von Kernel-Speicherplatz durchgeführt. Bei diesem Überfall und vielen anderen Angriffen, die Lazarus zugeschrieben werden, haben wir viele Fahrzeuge gesehen, die sogar an einem einzigen Interessenpunkt in einem Netzwerk von Interessen eingesetzt wurden. Natürlich ist die Gruppe hinter der Razzia ziemlich groß, systematisch organisiert und bestens vorbereitet.“
Die Razzia in den Niederlanden betraf einen Windows 10-Computer, der mit dem Unternehmensnetzwerk verbunden war. Ein Mitarbeiter wurde über eine LinkedIn-Kommunikation wegen einer potenziellen neuen Stelle kontaktiert, was zu einer E-Mail mit einem Dokumentanhang führte. Das an das Opfer gesendete Word-Dokument Amzon_Netherlands.docx ist nur ein Entwurfsdokument mit dem Amazon-Logo. ESET-Forscher gehen davon aus, dass dieses Papier ein Stellenangebot für das Amazonas-Weltraumprogramm Project Kuiper enthalten könnte.
Öffentliches Fernsehen