De aan Noord-Korea toegeschreven Lazarus APT-groep heeft de voorbije maanden defensiebedrijven over de hele wereld aangevallen. Voor nep-wervingscampagnes werd gebruik gemaakt van apps als LinkedIn. Dat blijkt uit een analyse die beveiligingsspecialist Eset presenteerde tijdens de jaarlijkse conferentie.
Lazarus Group is een cybercriminaliteitsgroep die bestaat uit een onbekend aantal individuen. Hoewel er niet veel bekend is over het collectief, hebben onderzoekers de voorbije jaren heel wat cyberaanvallen aan hen toegeschreven. Ook bij Eset staat de groep op de radar.
Zo zou Lazarus wereldwijd luchtvaart-, ruimtevaart- en defensiebedrijven aanvallen. Volgens het Eset-onderzoek waren de doelen in Europa (Frankrijk, Italië, Spanje, Duitsland, Tsjechië, Nederland, Polen en Oekraïne), het Midden-Oosten (Turkije, Qatar) en Latijns-Amerika (Brazilië). De aanvallen verliepen tussen eind 2021 en maart 2022.
Oorsprong
Hoewel het moeilijk is de oorsprong te vinden van dergelijke aanvallen, meent de Amerikaanse regering dat Lazarus banden onderhoudt met het Noord-Koreaanse regime. In 2021 heeft het Amerikaanse ministerie van Justitie drie programmeurs aangeklaagd voor cyberaanvallen terwijl ze voor het Noord-Koreaanse leger werkten. Volgens VS behoorden de drie tot de Noord-Koreaanse militaire hackeenheid die in de security-gemeenschap bekend staat als de Lazarus Group.
Nieuw zijn de activiteiten niet. In 2020 hadden Eset-onderzoekers een campagne van een Lazarus-subgroep tegen Europese lucht- en ruimtevaart- en defensiebedrijven opgetekend. Hoewel de malware die in de campagnes werd gebruikt ook verschillend was, bleef de initiële modus operandi altijd dezelfde: een nep-recruiter nam via LinkedIn contact op met een werkzoekende en stuurde vervolgens kwaadaardige componenten die zich voordeden als functiebeschrijvingen of sollicitaties.
