Nordkorea-allierad hotaktör utför riktade IT-attacker mot kryptovalutaföretag med global hackningskampanj

IT-säkerhetsföretaget F-Secure kan idag avslöja att en attack mot ett företag inom kryptovalutaindustrin har kopplingar till en global Lazarus-offensiv, trots angriparens ansträngningar för att förstöra bevis.

Nordkorea-allierad hotaktör utför riktade IT-attacker mot kryptovalutaföretag med global hackningskampanj 1
Matt Lawrence, F-Secures Director of Detection and Response

IT-säkerhetsföretaget F-Secure publicerar idag en rapport som avslöjar att en IT-attack mot ett kryptovalutaföretag har kopplingar till Lazarus-gruppen – en mycket skicklig, ekonomiskt motiverad hotaktör, vars intressen rapporteras ligga i linje med Nordkoreas.

Genom att sammanföra bevis som erhållits från attacken med befintlig forskning, drar rapporten slutsatsen att attacken var en del av en Lazarus-offensiv riktad mot organisationer inom kryptovalutaindustrin i USA, Storbritannien, Nederländerna, Tyskland, Singapore, Japan och flera andra länder.

Den taktiska underrättelserapporten erbjuder en analys av prover, loggar och andra tekniska artefakter som F-Secure kunde återvinna under en incidentundersökning hos en organisation som arbetar med kryptovaluta.

Enligt rapporten var de skadliga koderna som användes i attacken nästintill identiska med de som tidigare rapporteras har använts av Lazarus Group – även kända som APT38.

Rapporten identifierar den taktik, samt de tekniker och processer (TTP:er) som användes under attacken, såsom t ex spearphishing via en tjänst (i detta fall genom att använda LinkedIn för att skicka ett falskt jobberbjudande anpassat till mottagarens profil). Enligt Matt Lawrence, F-Secures Director of Detection and Response, utgör undersökningen en solid grund för rapportens angripbara säkerhetsråd.

”Vår undersökning, som inkluderade insikter från våra team inom incidentrespons, detektion och respons, samt inom taktiskt försvar, fann att denna attack bär flera likheter med tidigare kända Lazarus-aktiviteter, så vi är övertygade om att de låg bakom attacken”, säger Lawrence. ”Bevisen antyder även att detta är en del av en pågående offensiv som riktar sig mot organisationer i över ett dussin länder, vilket gör det viktigt att uppmärksamma. Företag kan använda rapporten som ett sätt att bekanta sig med denna incident, de TTP:er sin finns och Lazarus-gruppen generellt för att skydda sig mot framtida attacker”.

Baserat på phishing-artefakter som har återfunnits från Lazarus-gruppens attack har F-Secures forskare kunnat länka incidenten till en bredare, fortgående offensiv som har pågått ända sedan januari 2018 eller längre. Enligt rapporten har liknande artefakter använts i kampanjer i minst 14 länder: USA, Kina, Storbritannien, Kanada, Tyskland, Ryssland, Sydkorea, Argentina, Singapore, Hong Kong, Nederländerna, Estland, Japan och Filippinerna.

Lazarus-gruppen gjorde betydande ansträngningar för att undvika mål-organisationens försvar under attacken, som t ex att inaktivera de aktuella värdarnas antivirusprogramvara, samt avlägsna bevis från deras skadliga koder. Även om rapporten beskriver attacken som sofistikerad, så belyser den också att Lazarus-gruppens ansträngningar att dölja sin närvaro inte var tillräckliga för att förhindra F-Secures utredning från att hitta bevis för deras aktiviteter.

Rapporten, Lazarus Group Campaign Targeting the Cryptocurrency Vertical, innehåller mer information för försvarsaktörer, inklusive indikatorer på intrång, en lista över de TTPer som användes i attacken, samt ytterligare råd för att upptäcka Lazarus-aktivitet.