ESET-onderzoekers ontdekten en analyseerden een reeks kwaadaardige tools die werden gebruikt door de beruchte Lazarus APT-groep bij aanvallen eind 2021. De aanval begon met spear-phishing-e-mails met kwaadaardige documenten met Amazon als onderwerp was gericht op een politiek journalist in België en een medewerker van een lucht- en ruimtevaartbedrijf in Nederland. Het belangrijkste doel van de aanvallers was data-exfiltratie.
Beide slachtoffers kregen werkaanbiedingen – in België ontving het doelwit een document via e-mail en het doelwit in Nederland ontving een bijlage via LinkedIn Messaging. De aanvallen begonnen eens deze documenten geopend waren. De aanvallers hebben verschillende kwaadaardige tools op het systeem ingezet, waaronder droppers, loaders, volledige HTTPS-backdoors en HTTPS-downloaders.
De meest opvallende tool die door de aanvallers werd geleverd, was een module in gebruikersmodus die de mogelijkheid kreeg om het kernelgeheugen te lezen en erin te schrijven door de CVE-2021-21551-kwetsbaarheid in een legitieme Dell-driver. Dit lek treft Dell DBUtil-stuurprogramma’s. Dell heeft in mei 2021 hiervoor een update uitgebracht. Dit is het eerste in-the-wild geregistreerde misbruik van dit beveiligingslek.
“De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen, geleverd door het Windows-besturingssysteem om zijn acties te controleren, zoals register, bestandssysteem, procescreatie, het volgen van gebeurtenissen, enz., op een generieke en robuuste manier”, zegt Peter Kálnai, de ESET-onderzoeker die deze campagne ontdekte. “Het gebeurde niet alleen in de kernel, maar ook op een robuuste manier, met behulp van een reeks slechte of ongedocumenteerde interne Windows-elementen, wat uitgebreide onderzoeks-, ontwikkelings- en testvaardigheden vereiste “, voegde hij eraan toe.
Lazarus gebruikte ook een HTTP(S)-achterdeur, bekend als BLINDINGCAN. ESET is van mening dat deze trojan voor externe toegang (RAT) een complexe server-side controller heeft met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.
In Nederland vond de aanval plaats op een Windows 10-computer aangesloten op het bedrijfsnetwerk, waar een medewerker via LinkedIn Messaging werd benaderd over een mogelijke nieuwe baan. Dit resulteerde in een e-mail met een bijgevoegd document. Het Word-bestand Amzon_Netherlands.docx dat naar het slachtoffer werd gestuurd, is slechts een schematisch document met een Amazon-logo. ESET-onderzoekers konden de inhoud niet bemachtigen, maar gaan ervan uit dat het wellicht een vacature was voor het Project Kuiper Amazon-ruimteprogramma. Dit is een methode die Lazarus toepaste in de Operation In(ter)ception en Operation DreamJob aanvallen, gericht op de lucht- ruimtevaart- en defensie-industrie.
Afhankelijk van het aantal commandocodes beschikbaar voor de operator, is het waarschijnlijk dat een server-side controller beschikbaar is voor de operator om gecompromitteerde systemen te bewaken en te verkennen. Onder de meer dan twee dozijn beschikbare commando’s zijn er uploaden, downloaden, herschrijven en verwijderen en een screenshot maken.
“Bij deze aanval, evenals bij tal van andere die aan Lazarus werden toegeschreven, zagen we dat veel tools werden gedistribueerd naar soms een enkel terminal in een interessant netwerk. Het lijdt geen twijfel dat het team achter de aanval vrij groot, goed georganiseerd en volledig voorbereid is”, zei Kálnai.
ESET Research schrijft deze aanvallen met grote zekerheid toe aan Lazarus. De diversiteit, het aantal en de aanpak van de uitvoering van Lazarus-aanvallen zijn uniek voor deze groep, evenals het feit dat ze de drie pijlers van cybercriminele activiteiten uitvoeren: cyberspionage, cybersabotage en financieel gewin. Lazarus (ook bekend als HIDDEN COBRA) is in ieder geval sinds 2009 actief. Het is verantwoordelijk voor verschillende spraakmakende incidenten.
Het onderzoek wordt dit jaar gepresenteerd op de Virus Bulletin conference. Gedetailleerde informatie is beschikbaar in het witboek “Lazarus & BYOVD: Evil to the Windows core”.
Voor meer technische informatie over deze laatste Lazarus-aanval, lees de “Amazon-themed campaigns of Lazarus in the Netherlands and Belgium” op WeLiveSecurity. Volg ESET Research ook op Twitter voor het laatste nieuws over ESET Research.