Lazarus-Tochter ‘ZINC’ für Kampagne gegen Sicherheitsforscher verantwortlich gemacht

  • Neue Details tauchen auf, wie die mit Nordkorea verbundene APT das Vertrauen von Experten gewann und Visual Studio ausnutzte, um Systeme mit “Comebacker”-Malware zu infizieren.

    Microsoft hat eine kürzlich entdeckte Kampagne, die darauf abzielte, Sicherheitsforscher durch ausgeklügelte Social-Engineering-Angriffe mit maßgeschneiderter Malware zu infizieren, einer APT-Gruppe zugeschrieben, die mit der in Nordkorea ansässigen Lazarus Group verbunden ist.

    Die Threat Analysis Group (TAG) von Google warnte bereits am Montag vor den Angriffen, die auf lange Sicht angelegt sind und soziale Medien nutzen, um ein Vertrauensverhältnis zu Forschern aufzubauen und dann deren Systeme mit Malware zu infizieren, entweder über bösartige Webseiten oder gemeinsame Visual Studio-Projekte. Die Angreifer scheinen es bisher nur auf Forscher abgesehen zu haben, die Windows-Rechner verwenden.

    In Anbetracht der Verbindung von Microsoft zu den Angriffen haben Forscher des Microsoft 365 Defender Threat Intelligence Teams am Donnerstag in einem Blog-Beitrag enthüllt, was sie von der Kampagne gesehen haben. Sie schrieben die Angriffe ZINC zu – einer Bedrohungsgruppe, die mit Lazarus in Verbindung gebracht wird – und sagten, dass sie die bösartigen Aktivitäten zum ersten Mal beobachteten, nachdem Microsoft Defender for Endpoint einen laufenden Angriff erkannt hatte.
    Die Forscher sind sich “sehr sicher”, dass die Kampagne – die ihrer Meinung nach auf “Pen-Tester, private offensive Sicherheitsforscher und Mitarbeiter von Sicherheits- und Technologieunternehmen” abzielt – aufgrund der “beobachteten Vorgehensweise, Infrastruktur, Malware-Muster und Kontoverbindungen” wie das Werk von ZINC aussieht.

    Es ist bekannt, dass APT-Gruppen in Nordkorea eng mit dem Regime von Kim Jong Un verbunden sind und eine direkte Verbindung zu ihm haben. Die größte und produktivste dieser Gruppen ist Lazarus, eine von mehreren Gruppen, die für einen Angriff auf COVID-19-Impfstoffhersteller im letzten Monat verantwortlich sein sollen, um geistiges Eigentum zu stehlen.

    Microsofts Bedrohungsanalyse wirft auch ein neues Licht auf einen der beiden Hauptangriffsvektoren, die von den Akteuren verwendet wurden. Dieser bestand darin, den Forschern ein Visual Studio-Projekt zur Verfügung zu stellen, das mit bösartigem Code infiziert war – den die Forscher als die Comebacker-Malware identifizierten -, wenn sie sich bereit erklärten, an einem Projekt mitzuarbeiten. Dieses Szenario wurde bereits von den Google TAG-Forschern in ihrem Advisory identifiziert, allerdings nicht in allen Einzelheiten.

    Der erste TAG-Alarm enthüllte, dass Angreifer, die mit Nordkorea in Verbindung stehen, es in einer Kampagne auf Sicherheitsforscher abgesehen haben, die in den letzten Monaten verfolgt wurde und verschiedene Mittel einsetzt – einschließlich Angreifern, die so weit gehen, einen eigenen Forschungsblog, mehrere Twitter-Profile und andere Social-Media-Konten einzurichten -, um mit Sicherheitsexperten in verschiedenen Organisationen zu interagieren und sie anzugreifen.

    Da die Infizierten mit vollständig gepatchten und aktuellen Windows 10- und Chrome-Browserversionen arbeiteten, nutzten die Hacker in ihrer Kampagne wahrscheinlich Zero-Day-Schwachstellen, so TAG.

    Microsoft zitierte die Untersuchung von Google TAG, um “die Auswirkungen dieses Angriffs auf den Browser zu erfassen” und sagte, dass es seine eigenen Ergebnisse veröffentlicht, “um das Bewusstsein in der Cybersicherheits-Community über zusätzliche Techniken zu schärfen, die in dieser Kampagne verwendet wurden, und um Sicherheitsexperten daran zu erinnern, dass sie hochwertige Ziele für Angreifer sind.”

    Bei der vom Microsoft-Team beobachteten Kampagne begann ZINC Mitte 2020, sich über Twitter in der Forschungsgemeinschaft einen Namen zu machen. Die Bedrohungsakteure begannen damit, “hochwertige Sicherheitsinhalte zu retweeten und über Exploit-Forschung von einem von den Akteuren kontrollierten Blog zu posten”, so Microsoft.

    Der betreffende Akteur betrieb mehrere Konten mit insgesamt etwa 2.000 Followern, darunter “viele prominente Sicherheitsforscher”, so Microsoft.

    In Bezug auf den Visual Studio-Angriff sagte das 365 Defender-Team, dass die bösartige DLL-Datei, die von den Google-Forschern als Einrichtung des Command-and-Control-Kanals (C2) erwähnt wurde, in Browse.vc.db getarnt war, einer der vorgefertigten Binärdateien, die typischerweise in Visual Studio gefunden werden. Außerdem identifizierte Microsoft Defender for Endpoint die DLLs als Comebacker-Malware.

    “Ein Pre-Build-Event mit einem PowerShell-Befehl wurde verwendet, um Comebacker über rundll32 zu starten”, so Microsoft. “Diese Verwendung eines bösartigen Pre-Build-Events ist eine innovative Technik, um die Ausführung zu erlangen.”

    Sobald die bösartige Visual Studio Project-Datei erstellt wurde, legt der Prozess C:ProgramDataVirtualBoxupdate.bin ab und fügt die Datei einem Autostart-Registrierungsschlüssel hinzu, so Microsoft.

    “Die Akteure haben einige Anstrengungen unternommen, um die Comebacker-Malware-Attribute zwischen den Bereitstellungen zu modifizieren; Dateinamen, Dateipfade und exportierte Funktionen wurden regelmäßig geändert, sodass man sich für eine zuverlässige Erkennung nicht allein auf diese statischen IOCs verlassen kann”, erklärten die Forscher.

    Der Angriff verwendet außerdem eine DLL namens Klackring, die einen bösartigen Dienst auf dem Zielrechner registriert, so die Forscher. Die Forscher glauben, dass entweder die Comebacker-Malware oder ein unbekannter Dropper diesen Dienst in C:Windowssystem32 bereitstellt und mit der Dateierweiterung .sys speichert.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com