Lazarus Group针对医疗研究和能源行业的持续攻击

重点总结

根据WithSecure的研究，LazarusGroup正在持续地攻击医疗研究和能源行业，以及相关供应链合作伙伴，主要是通过利用未修补的Zimbra设备中存在的已知漏洞。

这些未修补的设备使得威胁参与者能够轻易入侵网络并提升权限。研究人员还观察到其他领域的潜在受害者，这也导致了数据的外泄。

WithSecure确认了此次正在进行的攻击活动的受害者，包括医疗研究行业、用于能源、研究、国防和医疗领域的技术制造商，以及一家顶尖研究大学的化工工程系。

这次攻击被称为“NoPineapple”，攻击者在后门中附加的错误信息显示“在事件数据超过分段字节大小时”。报告表明，这些攻击似乎旨在从受害组织中收集情报。

“受害者的选择遵循了针对高价值目标的既定模式，尤其是医疗研究和能源行业。此外，WithSecure相信威胁参与者故意针对这些领域的供应链，”报告中这样指出。

在2022年秋季，有一个严重的远程代码漏洞（CVE-2022-41352）被报告，自9月中旬以来，该漏洞已被积极利用，其严重性评分高达9.8分。

该漏洞源于设备使用的防病毒引擎采用了cpio工具来扫描传入的电子邮件。该工具的漏洞允许攻击者创建存档，以访问Zimbra设备内的任何文件。

在披露该漏洞后，Zimbra发布了推荐的解决方法，建议安装pax工具并重启Zimbra服务。然而，**** 黑客可能会“合理地转向利用”尚未修补的漏洞。

WithSecure的报告表明，这正是发生的情况。

其研究人员在2022年第四季度响应了一次利用这些战术的网络攻击，强烈归因于LazarusGroup。法医证据显示了朝鲜国家支持的威胁参与者在其他活动中所利用的特征迹象。

攻击于八月针对一台Zimbra邮件服务器展开，攻击者利用了Zimbra服务器中的本地权限升级漏洞。在滞留一周后，威胁参与者从邮件服务器中外泄了约100GB的数据，而没有进行任何“破坏性行动”。

一个月后，攻击者转移到一个通过WindowsXP设备加入的易受攻击域。在一个月的时间里，攻击者继续在网络中横向移动，进行侦察，并部署多种自定义工具和恶意软件。而Dtrack是其中一种变种，研究人员认为这是GREASE的更新版本。

在这次攻击中，威胁参与者利用了现成的网页外壳和自定义二进制文件，同时滥用合法的Windows和Unix工具。成功的漏洞利用使攻击者能够安装用于代理、隧道和中继连接的工具。

报告指出，“攻击者使用了许多内置命令来枚举网络和受损设备。一些命令被硬编码进入二进制文件中，但其他命令则由操作员手动运行。许多使用的命令都是标准的Windows命令行工具，另外，还有两个PowerShell命令被运行。”

其指挥和控制（C2）行为表明，攻击者使用了少量的C2服务器，通过多个中继和端点连接。报告提到，“一些C2服务器似乎本身也是被攻陷的受害者。”

更重要的是，报告作者指出，“观察到web外壳和Cobalt Strike信标，这些都是作为持久性机制。”合法账户也被攻陷