Die nordkoreanische Bedrohungsgruppe, die als Lazarus Group bekannt ist, hat ihre Taktiken und Werkzeuge im Rahmen einer langjährigen Aktivität namens DeathNote schnell weiterentwickelt und ihre Fokus geändert.
Obwohl der nationale Gegner für seine anhaltenden Angriffe auf den Kryptowährungssektor bekannt ist, hat er auch Automobil-, akademische und Verteidigungssektoren in Osteuropa und anderen Teilen der Welt ins Visier genommen. Dies wird als “bedeutende” Kursänderung wahrgenommen.
“Zu diesem Zeitpunkt hat der Akteur alle Tarn-Dokumente auf Stellenbeschreibungen im Zusammenhang mit Verteidigungsunternehmen und diplomatischen Diensten umgestellt”, sagte der Kaspersky-Forscher Seongsu Park in einer am Mittwoch veröffentlichten Analyse.
Die Änderung der Zielsetzung sowie der Einsatz von aktualisierten Infektionsvektoren sollen im April 2020 erfolgt sein. Es ist erwähnenswert, dass der DeathNote-Cluster auch unter den Namen Operation Dream Job oder NukeSped verfolgt wird. Das Google-eigene Mandiant hat auch einen Teil der Aktivität mit einer Gruppe namens UNC2970 in Verbindung gebracht.
Die Phishing-Angriffe, die gegen Krypto-Unternehmen gerichtet sind, beinhalten in der Regel Bitcoin-Mining-Themen-Köder in E-Mail-Nachrichten, um potenzielle Ziele dazu zu verleiten, makroverseuchte Dokumente zu öffnen, um den Manuscrypt (aka NukeSped)-Backdoor auf der kompromittierten Maschine abzulegen.
Die Ausrichtung auf die Automobil- und akademischen Vertikalen ist mit den breiteren Angriffen der Lazarus Group gegen die Verteidigungsindustrie verbunden, wie von der russischen Cybersecurity-Firma im Oktober 2021 dokumentiert, was zur Bereitstellung von BLINDINGCAN (aka AIRDRY oder ZetaNile) und COPPERHEDGE-Implantaten führte.
DeathNote-Kampagne In einer alternativen Angriffskette setzte der Bedrohungsakteur eine trojanisierte Version einer legitimen PDF-Reader-Anwendung namens SumatraPDF Reader ein, um seine bösartige Routine zu starten. Der Einsatz von falschen PDF-Reader-Apps durch die Lazarus-Gruppe wurde zuvor von Microsoft enthüllt.
Die Ziele dieser Angriffe waren ein IT-Asset-Monitoring-Lösungsanbieter mit Sitz in Lettland und ein Think Tank in Südkorea, bei dem der Missbrauch von legitimer Sicherheitssoftware, die im Land weit verbreitet ist, zur Ausführung der Payloads führte.
Das Twin-Angriffsmuster “weist auf die Fähigkeit von Lazarus hin, Supply-Chain-Angriffsfähigkeiten zu entwickeln”, bemerkte Kaspersky damals. Die Angreifer wurden seitdem für den Supply-Chain-Angriff auf den VoIP-Dienstleister für Unternehmen 3CX verantwortlich gemacht, der letzten Monat bekannt wurde.
Kaspersky entdeckte im März 2022 einen weiteren Angriff, der mehrere Opfer in Südkorea zum Ziel hatte, indem er dieselbe Sicherheitssoftware ausnutzte
