Grupa Lazarus povezana sa Sjevernom Korejom pripisana je novoj globalnoj kampanji koja koristi zloglasnu grešku Log4j za implementaciju tri prethodno nedokumentovana malvera zasnovana na DLang-u – NineRAT, DLRAT i BottomLoader.
Vjeruje se da je kampanja nazvana Operation Blacksmith aktivna od marta, ciljajući na organizacije u sektoru proizvodnje, poljoprivrede i fizičkog obezbjeđenja.
Pogled na proces infekcije
Inicijalni pristup počinje uspješnom eksploatacijom Log4j ranjivosti (CVE-2021-44228) na javno suočenim VMWare Horizon serverima.
- Kada je početno izviđanje završeno, napadači postavljaju HazyLoad proxy alat kako bi uspostavili uporište na zaraženim sistemima.
- HazyLoad se preuzima i izvršava pomoću drugog zlonamjernog softvera koji se zove BottomLoader.
- U određenim slučajevima, istraživači su primijetili kako hakeri koriste novu udaljenu IP adresu umjesto HazyLoad za komunikaciju.
- Nakon što dobiju pristup sistemima, kreiraju dodatni korisnički nalog kako bi dobili administrativne privilegije i implementirali NineRAT u završnoj fazi za prikupljanje informacija o sistemu i drugih osjetljivih detalja.
- Kampanja je također primijećena kako isporučuje DLRAT-a za postavljanje dodatnog malvera, preuzimanje komandi sa C2 i njihovo izvršavanje na kompromitovanim sistemima.
Više o NineRAT-u
- Prvobitno izgrađen oko maja 2022. godine, NineRAT je prvi put korišten u ovoj kampanji u martu za ciljanje južnoameričke poljoprivredne organizacije.
- Kasnije u septembru, malver je korišten protiv proizvodnog subjekta u Evropi.
- NineRAT koristi Telegram kao svoj C2 kanal za primanje komandi za prikupljanje sistemskih informacija, komuniciranje izlaznih informacija, pa čak i samu deinstalaciju i nadogradnju.
Vrijedi napomenuti da grupa sve više koristi netradicionalne okvire kako bi dodala nove porodice zlonamjernog softvera u svoj arsenal. Ranije je grupa pripisana MagicRAT i QuiteRAT malveru, izgrađenom na QtFrameworku.
Zaključak
Široka eksploatacija greške Log4j čak i nakon godinu dana je oštar podsjetnik za organizacije da primjenjuju sigurnosne zakrpe. Štaviše, kako Lazarus nastavlja da ažurira svoj zlonamjerni arsenal novim mogućnostima, organizacijama se predlaže da se angažuju na platformama za razmjenu informacija o prijetnjama kako bi bile korak ispred u zaštiti sistema.
Izvor: Cyware Alerts – Hacker News