Δύο από τις πιο επικίνδυνες ομάδες χάκερ της Βόρειας Κορέας ένωσαν τις δυνάμεις τους για να ξεκινήσουν μια συντονισμένη εκστρατεία επίθεσης που απειλεί οργανισμούς σε όλο τον κόσμο.
Οι ομάδες Kimsuky και Lazarus συνεργάζονται για να κλέψουν ευαίσθητες πληροφορίες και κρυπτονομίσματα μέσω μιας συστηματικής προσέγγισης που συνδυάζει την κοινωνική μηχανική με την εκμετάλλευση μηδενικής ημέρας.
Αυτή η συνεργασία αντιπροσωπεύει μια σημαντική αλλαγή στον τρόπο με τον οποίο λειτουργούν οι φορείς απειλών που χρηματοδοτούνται από το κράτος, μεταβαίνοντας από μεμονωμένες επιθέσεις σε προσεκτικά συντονισμένες επιχειρήσεις.
Η εκστρατεία ξεκινά με τον Kimsuky να πραγματοποιεί αναγνώριση μέσω προσεκτικά κατασκευασμένων email phishing που μεταμφιέζονται ως προσκλήσεις ακαδημαϊκών συνεδρίων ή αιτήματα ερευνητικής συνεργασίας.
Αυτά τα μηνύματα περιέχουν κακόβουλα συνημμένα σε μορφές HWP ή MSC που αναπτύσσουν την κερκόπορτα FPSpy όταν ανοίγουν. Μόλις εγκατασταθεί, το backdoor ενεργοποιεί ένα keylogger που ονομάζεται KLogEXE που καταγράφει κωδικούς πρόσβασης, περιεχόμενο email και πληροφορίες συστήματος.
Αυτή η φάση συλλογής πληροφοριών χαρτογραφεί την αρχιτεκτονική δικτύου του στόχου και προσδιορίζει πολύτιμα περιουσιακά στοιχεία πριν παραδώσει τον έλεγχο στον Lazarus.
Ερευνητές ασφαλείας CN-SEC διάσημος ότι ο Lazarus στη συνέχεια εκμεταλλεύεται τα τρωτά σημεία zero-day για να αποκτήσει βαθύτερη πρόσβαση σε παραβιασμένα συστήματα.
Η ομάδα έχει οπλίσει το CVE-2024-38193, ένα ελάττωμα κλιμάκωσης των προνομίων των Windows, για να αναπτύξει κακόβουλα πακέτα Node.js που φαίνονται νόμιμα.
Όταν εκτελούνται αυτά τα πακέτα, οι εισβολείς αποκτούν προνόμια σε επίπεδο SYSTEM και εγκαθιστούν την κερκόπορτα InvisibleFerret, η οποία παρακάμπτει τα εργαλεία ανίχνευσης τελικού σημείου μέσω του στοιχείου κακόβουλου λογισμικού Fudmodule.
Τεχνική κατάρρευση του InvisibleFerret Backdoor
Η κερκόπορτα InvisibleFerret αντιπροσωπεύει μια σημαντική πρόοδο στις δυνατότητες αποφυγής. Αποκρύπτει την κυκλοφορία του δικτύου του ως κανονικά αιτήματα ιστού HTTPS, καθιστώντας τον εντοπισμό μέσω ανάλυσης κίνησης εξαιρετικά δύσκολο για τις ομάδες ασφαλείας.
Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα πορτοφόλια blockchain σαρώνοντας τη μνήμη του συστήματος για ιδιωτικά κλειδιά και δεδομένα συναλλαγών που είναι αποθηκευμένα σε επεκτάσεις προγράμματος περιήγησης και εφαρμογές επιτραπέζιου υπολογιστή.
Σε μια τεκμηριωμένη περίπτωση, οι εισβολείς μετέφεραν 32 εκατομμύρια δολάρια σε κρυπτονομίσματα μέσα σε 48 ώρες χωρίς να ενεργοποιήσουν ειδοποιήσεις ασφαλείας.
Η κερκόπορτα επικοινωνεί με διακομιστές εντολών και ελέγχου μέσω κρυπτογραφημένων καναλιών που εναλλάσσονται καθημερινά χρησιμοποιώντας μια στρατηγική ψηφοφορίας τομέα. Κάθε τομέας C2 είναι μεταμφιεσμένος ως νόμιμος ιστότοπος ηλεκτρονικού εμπορίου ή ειδήσεων για την αποφυγή υποψιών.
Αφού ολοκληρώσουν τους στόχους τους, και οι δύο ομάδες συντονίζονται για την αφαίρεση στοιχείων μέσω κοινής υποδομής.
Αντικαθιστούν κακόβουλα αρχεία με νόμιμες διαδικασίες συστήματος και διαγράφουν αρχεία καταγραφής επιθέσεων. Οι οργανισμοί στους τομείς της άμυνας, των οικονομικών, της ενέργειας και του blockchain αντιμετωπίζουν τον υψηλότερο κίνδυνο από αυτήν την απειλή.
