Lazarus Group: Nova prijetnja IT stručnjacima
Infamni Lazarus Group, skupina prijetnji povezana s vladom Sjeverne Koreje, nedavno je primijećena u napadima na IT stručnjake unutar iste organizacije koja se bavi nuklearnim tehnologijama. Ovi napadi predstavljaju nastavak kampanje koja je započela 2020. godine pod nazivom Operacija DreamJob (poznata i kao Deathnote). U okviru ove kampanje, napadači kreiraju lažne poslove i nude maštovite pozicije osobama koje rade u sektorima poput obrane, zrakoplovstva, kriptovaluta i mnogim drugim globalnim industrijama. Kontakti s potencijalnim žrtvama ostvaruju se putem društvenih mreža poput LinkedIn-a i X-a, gdje organiziraju višestruke “intervjue”.
Način rada napada
Tijekom ovih intervjua, žrtve su često bile izložene zlonamjernom softveru ili alatima za daljinski pristup koji su sadržavali trojance. Cilj ove kampanje je krađa osjetljivih informacija ili kriptovaluta. U 2022. godini, Lazarus je uspio ukrasti otprilike 600 milijuna dolara od jedne kripto kompanije.
CookieTime – alate za daljinski pristup
Prema najnovijem izvještaju Kasperskog, u ovom su slučaju Lazarus napali dvoje pojedinaca koristeći zlonamjerne alate za daljinski pristup. Iskoristili su te alate kako bi instalirali zlonamjerni softver nazvan CookieTime, koji je funkcionirao kao leđa vrata (backdoor), omogućujući napadačima da izvršavaju razne naredbe na kompromitiranom uređaju. Ovaj pristup im je omogućio lateralno kretanje unutar mreže i preuzimanje dodatnih zlonamjernih programa, uključujući LPEClient, Charamel Loader, ServiceChanger i ažuriranu verziju CookiePlusa.
Značaj CookiePlusa
Kaspersky napominje da je CookiePlus posebno zanimljiv, jer je to novi zlonamjerni program temeljen na pluginovima, otkriven tijekom najnovije istrage. Ovaj program učitavaju i ServiceChanger i Charamel Loader, a varijante se izvršavaju na različite načine, ovisno o učitavaču. Budući da CookiePlus djeluje kao downloader, njegova funkcionalnost je ograničena, a prenosi minimalne informacije.
Zaključak
Napadi Lazarus Grupe u siječnju 2024. godine ukazuju na to da ova skupina ostaje značajna prijetnja koja dolazi iz Sjeverne Koreje. IT stručnjaci trebaju biti oprezni i svjesni ovih sofisticiranih metoda napada kako bi se zaštitili od potencijalnih prijetnji.
