Οι hackers Lazarus παραβίασαν έξι οργανισμούς στη Νότια Κορέα
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Lazarus παραβίασαν έξι οργανισμούς στη Νότια Κορέα
https://www.secnews.gr/646755/hackers-lazarus-parabiasan-eksi-organismous-notia-korea/
Apr 25th 2025, 10:30
by Digital Fortress
Σε μια πρόσφατη κατασκοπευτική επιχείρηση, οι hackers Lazarus από τη Βόρεια Κορέα στόχευσαν διάφορους οργανισμούς στη Νότια Κορέα, που δραστηριοποιούνται στους τομείς της πληροφορικής, του λογισμικού, των χρηματοοικονομικών και των τηλεπικοινωνιών.
Η ομάδα συνδύασε μια watering hole επίθεση με την εκμετάλλευση μιας ευπάθειας σε έναν file transfer client, που είναι απαραίτητος στη Νότια Κορέα για την εκτέλεση συγκεκριμένων διοικητικών και οικονομικών διαδικασιών.
Οι ερευνητές της Kaspersky βάπτισαν την επιχείρηση αυτή «Operation SyncHole» και αναφέρουν ότι τουλάχιστον έξι οργανισμοί παραβιάστηκαν από τους Lazarus hackers μεταξύ Νοεμβρίου 2024 και Φεβρουαρίου 2025. Οι ερευνητές σημειώνουν ότι είναι πολύ πιθανό να υπάρχουν κι άλλοι οργανισμοί που έχουν επηρεαστεί, καθώς το λογισμικό που εκμεταλλεύτηκε η ομάδα Lazarus είναι ιδιαίτερα διαδεδομένο. Σύμφωνα με την Kaspersky, οι επιτιθέμενοι χρησιμοποίησαν ένα γνωστό exploit, το οποίο παρόλο που είχε αναγνωριστεί από τον κατασκευαστή, είχε ξαναχρησιμοποιηθεί σε παλαιότερες επιθέσεις.
Δείτε επίσης: Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
Πώς λειτουργεί η επίθεση;
Η επίθεση ξεκίνησε στοχεύοντας χρήστες που επισκέπτονταν νόμιμους νοτιοκορεατικούς ιστότοπους media, οι οποίοι είχαν παραβιαστεί από την ομάδα, ώστε να συλλέγονται στοιχεία των επισκεπτών και να ανακατευθύνονται οι κατάλληλοι στόχοι σε κακόβουλες σελίδες.
Σε όσα περιστατικά αναλύθηκαν, τα θύματα οδηγούνταν σε ιστοσελίδες που μιμούνταν επίσημους παρόχους λογισμικού, όπως τον διανομέα του Cross EX, ενός εργαλείου που επιτρέπει στους Νοτιοκορεάτες να χρησιμοποιούν ασφαλές λογισμικό για online συναλλαγές και υπηρεσίες του κράτους.
«Παρόλο που δεν έχουμε ξεκάθαρη εικόνα για το πώς ακριβώς έγινε η εκμετάλλευση του Cross EX, θεωρούμε ότι οι επιτιθέμενοι κατάφεραν να αποκτήσουν αυξημένα δικαιώματα κατά τη διάρκεια της επίθεσης», εξήγησε η Kaspersky.
Σύμφωνα με τους ερευνητές, ένα κακόβουλο JavaScript που βρίσκεται στον παραποιημένο ιστότοπο, αξιοποιεί το λογισμικό Cross EX για να εγκαταστήσει κακόβουλο λογισμικό στις συσκευές των θυμάτων. Παρότι η Kaspersky δεν κατάφερε να προσδιορίσει με ακρίβεια τον τρόπο με τον οποίο έγινε η εκμετάλλευση, οι ειδικοί εκτιμούν ότι οι κυβερνοεγκληματίες κατάφεραν να αποκτήσουν αυξημένα δικαιώματα στο σύστημα κατά τη διάρκεια της εκμετάλλευσης.
Επιπλέον, η Kaspersky αναφέρει ότι, σύμφωνα με πρόσφατη ανακοίνωση στον ιστότοπο του KrCERT, είχαν εντοπιστεί και διορθωθεί ευπάθειες στο Cross EX, την περίοδο που διεξαγόταν η έρευνά τους. Μπορεί κάποια από αυτές τις ευπάθειες να χρησιμοποιήθηκε από τους hackers Lazarus.
Το exploit ενεργοποιεί την κανονική διαδικασία «SyncHost.exe», στην οποία ενσωματώνει κακόβουλο κώδικα για να φορτώσει το 'ThreatNeedle' backdoor, ένα εργαλείο που μπορεί να εκτελέσει έως και 37 διαφορετικές εντολές στο μολυσμένο σύστημα.
Δείτε επίσης: Η ομάδα Lazarus μολύνει εκατοντάδες μέσω πακέτων npm
Η Kaspersky διαπίστωσε ότι στα έξι επιβεβαιωμένα περιστατικά υπήρχαν διαφορετικές «αλυσίδες μόλυνσης», που παρουσίαζαν παραλλαγές στα αρχικά και μεταγενέστερα στάδια της επίθεσης. Παρ' όλα αυτά, το αρχικό σημείο εισόδου παρέμενε κοινό.
Στο πρώτο στάδιο της επίθεσης, η ομάδα χρησιμοποίησε το ThreatNeedle για να εγκαταστήσει το εργαλείο «LPEClient» — το οποίο συλλέγει πληροφορίες για το σύστημα — καθώς και προγράμματα λήψης κακόβουλου λογισμικού όπως το «wAgent» ή το «Agamemnon». Επιπλέον, χρησιμοποιήθηκε το εργαλείο «Innorix Abuser» για την πλευρική μετακίνηση εντός του δικτύου. Η έκθεση υπογραμμίζει ότι το Innorix Abuser εκμεταλλεύτηκε μια συγκεκριμένη ευπάθεια στην έκδοση 9.2.18.496 του Innorix Agent, η οποία έχει πλέον επιδιορθωθεί.
Σε ορισμένες περιπτώσεις, οι επιτιθέμενοι δεν χρησιμοποίησαν καθόλου το ThreatNeedle. Αντί γι' αυτό, επέλεξαν να εγκαταστήσουν το «SIGNBT», το οποίο με τη σειρά του ενεργοποιούσε το backdoor «Copperhedge», σχεδιασμένο για εσωτερική χαρτογράφηση και αναγνώριση του συστήματος-στόχου.
Με βάση τα εργαλεία που χρησιμοποιήθηκαν κατά τη διάρκεια της επιχείρησης «Operation SyncHole», η Kaspersky κατάφερε με βεβαιότητα να αποδώσει τις επιθέσεις στους hackers Lazarus, που φαίνεται να υποστηρίζονται από το βορειοκορεατικό καθεστώς.
Επιπλέον στοιχεία που ενισχύουν τη σύνδεση αυτών των επιθέσεων με την ομάδα, περιλαμβάνουν τις ώρες δραστηριότητας των επιτιθέμενων (που δείχνουν συγκεκριμένη ζώνη ώρας) καθώς και τις τεχνικές, τακτικές και μεθοδολογίες (γνωστές ως TTPs) που είναι χαρακτηριστικές της ομάδας Lazarus.
Αναλύοντας πρόσφατα δείγματα κακόβουλου λογισμικού από την εν λόγω εκστρατεία, η Kaspersky παρατήρησε πως η ομάδα Lazarus τείνει να χρησιμοποιεί πιο ελαφριά, ευέλικτα και δυσκολότερα στον εντοπισμό εργαλεία, τα οποία μπορούν εύκολα να προσαρμοστούν στις ανάγκες της κάθε επίθεσης.
Η εταιρεία κυβερνοασφάλειας δήλωσε ότι κοινοποίησε τα ευρήματά της στην Κορεατική Υπηρεσία Διαδικτύου και Ασφάλειας (KrCERT/CC), και επιβεβαίωσε ότι έχουν ήδη κυκλοφορήσει οι απαραίτητες διορθώσεις για τις ευπάθειες που αξιοποιήθηκαν σε αυτή την εκστρατεία.
Κατά τη διάρκεια της έρευνας, οι ειδικοί της Kaspersky εντόπισαν επίσης μια άγνωστη έως τότε ευπάθεια τύπου zero-day (με κωδικό KVE-2024-0014) στις εκδόσεις 9.2.18.001 έως 9.2.18.538 του λογισμικού Innorix Agent, η οποία επέτρεπε μη εξουσιοδοτημένες λήψεις αρχείων. Το πρόβλημα αναφέρθηκε μέσω του KrCERT και ο κατασκευαστής του λογισμικού το αντιμετώπισε με σχετική ενημέρωση που κυκλοφόρησε τον προηγούμενο μήνα.
Δείτε επίσης: Η Lazarus συνδέεται με ληστεία 1,5 δισεκατομμυρίου δολαρίων ByBit
Για την προστασία από απειλές όπως η Operation SyncHole, είναι κρίσιμο οι οργανισμοί να διατηρούν όλα τα λογισμικά τους πλήρως ενημερωμένα, εφαρμόζοντας άμεσα τα διαθέσιμα patches ασφαλείας. Παράλληλα, η χρήση αξιόπιστων λύσεων endpoint protection και η παρακολούθηση της δικτυακής δραστηριότητας μπορούν να εντοπίζουν και να αποτρέπουν ύποπτες συμπεριφορές. Η εκπαίδευση του προσωπικού στην αναγνώριση phishing προσπαθειών και η υιοθέτηση της αρχής του ελάχιστου απαραίτητου δικαιώματος πρόσβασης συμβάλλουν σημαντικά στον περιορισμό της επιφάνειας επίθεσης. Τέλος, η τακτική αξιολόγηση της ασφάλειας και η εφαρμογή στρατηγικών ανίχνευσης και απόκρισης σε περιστατικά ενισχύουν την ανθεκτικότητα του οργανισμού απέναντι σε στοχευμένες κυβερνοεπιθέσεις.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Οι hackers Lazarus παραβίασαν έξι οργανισμούς στη Νότια Κορέα
https://www.secnews.gr/646755/hackers-lazarus-parabiasan-eksi-organismous-notia-korea/
Apr 25th 2025, 10:30
by Digital Fortress
Σε μια πρόσφατη κατασκοπευτική επιχείρηση, οι hackers Lazarus από τη Βόρεια Κορέα στόχευσαν διάφορους οργανισμούς στη Νότια Κορέα, που δραστηριοποιούνται στους τομείς της πληροφορικής, του λογισμικού, των χρηματοοικονομικών και των τηλεπικοινωνιών.
Η ομάδα συνδύασε μια watering hole επίθεση με την εκμετάλλευση μιας ευπάθειας σε έναν file transfer client, που είναι απαραίτητος στη Νότια Κορέα για την εκτέλεση συγκεκριμένων διοικητικών και οικονομικών διαδικασιών.
Οι ερευνητές της Kaspersky βάπτισαν την επιχείρηση αυτή «Operation SyncHole» και αναφέρουν ότι τουλάχιστον έξι οργανισμοί παραβιάστηκαν από τους Lazarus hackers μεταξύ Νοεμβρίου 2024 και Φεβρουαρίου 2025. Οι ερευνητές σημειώνουν ότι είναι πολύ πιθανό να υπάρχουν κι άλλοι οργανισμοί που έχουν επηρεαστεί, καθώς το λογισμικό που εκμεταλλεύτηκε η ομάδα Lazarus είναι ιδιαίτερα διαδεδομένο. Σύμφωνα με την Kaspersky, οι επιτιθέμενοι χρησιμοποίησαν ένα γνωστό exploit, το οποίο παρόλο που είχε αναγνωριστεί από τον κατασκευαστή, είχε ξαναχρησιμοποιηθεί σε παλαιότερες επιθέσεις.
Δείτε επίσης: Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
Πώς λειτουργεί η επίθεση;
Η επίθεση ξεκίνησε στοχεύοντας χρήστες που επισκέπτονταν νόμιμους νοτιοκορεατικούς ιστότοπους media, οι οποίοι είχαν παραβιαστεί από την ομάδα, ώστε να συλλέγονται στοιχεία των επισκεπτών και να ανακατευθύνονται οι κατάλληλοι στόχοι σε κακόβουλες σελίδες.
Σε όσα περιστατικά αναλύθηκαν, τα θύματα οδηγούνταν σε ιστοσελίδες που μιμούνταν επίσημους παρόχους λογισμικού, όπως τον διανομέα του Cross EX, ενός εργαλείου που επιτρέπει στους Νοτιοκορεάτες να χρησιμοποιούν ασφαλές λογισμικό για online συναλλαγές και υπηρεσίες του κράτους.
«Παρόλο που δεν έχουμε ξεκάθαρη εικόνα για το πώς ακριβώς έγινε η εκμετάλλευση του Cross EX, θεωρούμε ότι οι επιτιθέμενοι κατάφεραν να αποκτήσουν αυξημένα δικαιώματα κατά τη διάρκεια της επίθεσης», εξήγησε η Kaspersky.
Σύμφωνα με τους ερευνητές, ένα κακόβουλο JavaScript που βρίσκεται στον παραποιημένο ιστότοπο, αξιοποιεί το λογισμικό Cross EX για να εγκαταστήσει κακόβουλο λογισμικό στις συσκευές των θυμάτων. Παρότι η Kaspersky δεν κατάφερε να προσδιορίσει με ακρίβεια τον τρόπο με τον οποίο έγινε η εκμετάλλευση, οι ειδικοί εκτιμούν ότι οι κυβερνοεγκληματίες κατάφεραν να αποκτήσουν αυξημένα δικαιώματα στο σύστημα κατά τη διάρκεια της εκμετάλλευσης.
Επιπλέον, η Kaspersky αναφέρει ότι, σύμφωνα με πρόσφατη ανακοίνωση στον ιστότοπο του KrCERT, είχαν εντοπιστεί και διορθωθεί ευπάθειες στο Cross EX, την περίοδο που διεξαγόταν η έρευνά τους. Μπορεί κάποια από αυτές τις ευπάθειες να χρησιμοποιήθηκε από τους hackers Lazarus.
Το exploit ενεργοποιεί την κανονική διαδικασία «SyncHost.exe», στην οποία ενσωματώνει κακόβουλο κώδικα για να φορτώσει το 'ThreatNeedle' backdoor, ένα εργαλείο που μπορεί να εκτελέσει έως και 37 διαφορετικές εντολές στο μολυσμένο σύστημα.
Δείτε επίσης: Η ομάδα Lazarus μολύνει εκατοντάδες μέσω πακέτων npm
Η Kaspersky διαπίστωσε ότι στα έξι επιβεβαιωμένα περιστατικά υπήρχαν διαφορετικές «αλυσίδες μόλυνσης», που παρουσίαζαν παραλλαγές στα αρχικά και μεταγενέστερα στάδια της επίθεσης. Παρ' όλα αυτά, το αρχικό σημείο εισόδου παρέμενε κοινό.
Στο πρώτο στάδιο της επίθεσης, η ομάδα χρησιμοποίησε το ThreatNeedle για να εγκαταστήσει το εργαλείο «LPEClient» — το οποίο συλλέγει πληροφορίες για το σύστημα — καθώς και προγράμματα λήψης κακόβουλου λογισμικού όπως το «wAgent» ή το «Agamemnon». Επιπλέον, χρησιμοποιήθηκε το εργαλείο «Innorix Abuser» για την πλευρική μετακίνηση εντός του δικτύου. Η έκθεση υπογραμμίζει ότι το Innorix Abuser εκμεταλλεύτηκε μια συγκεκριμένη ευπάθεια στην έκδοση 9.2.18.496 του Innorix Agent, η οποία έχει πλέον επιδιορθωθεί.
Σε ορισμένες περιπτώσεις, οι επιτιθέμενοι δεν χρησιμοποίησαν καθόλου το ThreatNeedle. Αντί γι' αυτό, επέλεξαν να εγκαταστήσουν το «SIGNBT», το οποίο με τη σειρά του ενεργοποιούσε το backdoor «Copperhedge», σχεδιασμένο για εσωτερική χαρτογράφηση και αναγνώριση του συστήματος-στόχου.
Με βάση τα εργαλεία που χρησιμοποιήθηκαν κατά τη διάρκεια της επιχείρησης «Operation SyncHole», η Kaspersky κατάφερε με βεβαιότητα να αποδώσει τις επιθέσεις στους hackers Lazarus, που φαίνεται να υποστηρίζονται από το βορειοκορεατικό καθεστώς.
Επιπλέον στοιχεία που ενισχύουν τη σύνδεση αυτών των επιθέσεων με την ομάδα, περιλαμβάνουν τις ώρες δραστηριότητας των επιτιθέμενων (που δείχνουν συγκεκριμένη ζώνη ώρας) καθώς και τις τεχνικές, τακτικές και μεθοδολογίες (γνωστές ως TTPs) που είναι χαρακτηριστικές της ομάδας Lazarus.
Αναλύοντας πρόσφατα δείγματα κακόβουλου λογισμικού από την εν λόγω εκστρατεία, η Kaspersky παρατήρησε πως η ομάδα Lazarus τείνει να χρησιμοποιεί πιο ελαφριά, ευέλικτα και δυσκολότερα στον εντοπισμό εργαλεία, τα οποία μπορούν εύκολα να προσαρμοστούν στις ανάγκες της κάθε επίθεσης.
Η εταιρεία κυβερνοασφάλειας δήλωσε ότι κοινοποίησε τα ευρήματά της στην Κορεατική Υπηρεσία Διαδικτύου και Ασφάλειας (KrCERT/CC), και επιβεβαίωσε ότι έχουν ήδη κυκλοφορήσει οι απαραίτητες διορθώσεις για τις ευπάθειες που αξιοποιήθηκαν σε αυτή την εκστρατεία.
Κατά τη διάρκεια της έρευνας, οι ειδικοί της Kaspersky εντόπισαν επίσης μια άγνωστη έως τότε ευπάθεια τύπου zero-day (με κωδικό KVE-2024-0014) στις εκδόσεις 9.2.18.001 έως 9.2.18.538 του λογισμικού Innorix Agent, η οποία επέτρεπε μη εξουσιοδοτημένες λήψεις αρχείων. Το πρόβλημα αναφέρθηκε μέσω του KrCERT και ο κατασκευαστής του λογισμικού το αντιμετώπισε με σχετική ενημέρωση που κυκλοφόρησε τον προηγούμενο μήνα.
Δείτε επίσης: Η Lazarus συνδέεται με ληστεία 1,5 δισεκατομμυρίου δολαρίων ByBit
Για την προστασία από απειλές όπως η Operation SyncHole, είναι κρίσιμο οι οργανισμοί να διατηρούν όλα τα λογισμικά τους πλήρως ενημερωμένα, εφαρμόζοντας άμεσα τα διαθέσιμα patches ασφαλείας. Παράλληλα, η χρήση αξιόπιστων λύσεων endpoint protection και η παρακολούθηση της δικτυακής δραστηριότητας μπορούν να εντοπίζουν και να αποτρέπουν ύποπτες συμπεριφορές. Η εκπαίδευση του προσωπικού στην αναγνώριση phishing προσπαθειών και η υιοθέτηση της αρχής του ελάχιστου απαραίτητου δικαιώματος πρόσβασης συμβάλλουν σημαντικά στον περιορισμό της επιφάνειας επίθεσης. Τέλος, η τακτική αξιολόγηση της ασφάλειας και η εφαρμογή στρατηγικών ανίχνευσης και απόκρισης σε περιστατικά ενισχύουν την ανθεκτικότητα του οργανισμού απέναντι σε στοχευμένες κυβερνοεπιθέσεις.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια