ESET-onderzoekers ontdekten en analyseerden kwaadaardige tools gebruikt door de Lazarus APT-groep bij aanvallen eind 2021. De aanval begon met spear-phishing-e-mails met kwaadaardige documenten met Amazon als onderwerp, gericht op een politiek journalist in België en een medewerker van een luchtvaartbedrijf in Nederland. Het doel van de aanvallers was data-exfiltratie.
Beide slachtoffers kregen werkaanbiedingen – in België ontving het doelwit een document via e-mail en in Nederland was het een bijlage via LinkedIn Messaging. De aanvallen begonnen eens deze documenten geopend waren. De groep heeft verschillende kwaadaardige tools op het systeem ingezet, waaronder droppers, loaders, volledige HTTPS-backdoors en HTTPS-downloaders.
De meest opvallende tool was een module in gebruikersmodus die de mogelijkheid kreeg om het kernelgeheugen te lezen en erin te schrijven door de CVE-2021-21551-kwetsbaarheid in een legitieme Dell-driver. Dit lek treft Dell DBUtil-stuurprogramma’s. In mei 2021 bracht Dell hiervoor een update uit. Dit is het eerste in-the-wild geregistreerde misbruik van dit lek.
“De aanvallers gebruikten vervolgens hun schrijftoegang tot het kernelgeheugen om zeven mechanismen uit te schakelen, geleverd door het Windows-besturingssysteem om op een generieke en robuuste manier zijn acties te controleren, zoals register, bestandssysteem, procescreatie, het volgen van gebeurtenissen, enz. “, zegt Peter Kálnai, de ESET-onderzoeker die de campagne ontdekte. “Het gebeurde niet alleen in de kernel, maar ook op een robuuste manier, met behulp van een reeks slechte of ongedocumenteerde interne Windows-elementen, wat uitgebreide onderzoeks-, ontwikkelings- en testvaardigheden vereiste “, voegde hij eraan toe.
Lazarus gebruikte ook een HTTP(S)-backdoor, bekend als BLINDINGCAN. ESET denkt dat deze trojan voor externe toegang een complexe server-side controller heeft met een gebruiksvriendelijke interface waarmee de operator gecompromitteerde systemen kan controleren en verkennen.
In Nederland vond de aanval plaats op een Windows 10-computer aangesloten op het bedrijfsnetwerk. Daar werd een medewerker via LinkedIn Messaging benaderd voor een nieuwe baan. Dit resulteerde in een mail met een attachment. Het Word-bestand Amzon_Netherlands.docx gestuurd naar het slachtoffer, is slechts een schematisch document met Amazon-logo. ESET kon de inhoud niet bemachtigen, maar denkt dat het een vacature was voor het Project Kuiper Amazon-ruimteprogramma. Deze methode werd door Lazarus toegepast in de Operation In(ter)ception en Operation DreamJob aanvallen op de lucht- ruimtevaart- en defensie-industrie.
Afhankelijk van het aantal commandocodes beschikbaar voor de operator, is het waarschijnlijk dat een server-side controller beschikbaar is voor de operator om gecompromitteerde systemen te bewaken en te verkennen. Onder de meer dan twaalf beschikbare commando’s zijn er uploaden, downloaden, herschrijven en verwijderen en een screenshot maken.
“Bij deze aanval, als bij andere aan Lazarus toegeschreven, zagen we dat tools werden gedistribueerd naar soms één terminal in een interessant netwerk. Het team achter de aanval is ongetwijfeld groot, goed georganiseerd en voorbereid is”, zei Kálnai.
ESET Research schrijft met zekerheid deze aanvallen toe aan Lazarus. Diversiteit, aantal en aanpak van de uitvoering van Lazarus-aanvallen zijn uniek voor deze groep, alsook het feit dat ze de drie pijlers van cyber-criminele activiteiten uitvoeren: cyberspionage, cybersabotage en financieel gewin. Lazarus (ook HIDDEN COBRA) is al sinds 2009 actief. Het is verantwoordelijk voor verschillende spraakmakende incidenten.
Het onderzoek werd dit jaar op de Virus Bulletin Conference gepresenteerd. Informatie is beschikbaar in het witboek “Lazarus & BYOVD: Evil to the Windows core”.
