Nejméně šest organizací v Jižní Koreji se stalo terčem nechvalně známé skupiny Lazarus napojené na Severní Koreu v rámci kampaně označované jako „Operation SyncHole“.

Podle zprávy společnosti Kaspersky byly útoky zaměřeny na jihokorejský softwarový, IT, finanční, polovodičový a telekomunikační průmysl. První důkazy o kompromitaci byly zaznamenány již v listopadu 2024.

Kampaň zahrnovala „sofistikovanou kombinaci strategie watering hole a zneužití zranitelností v jihokorejském softwaru,“ uvedli bezpečnostní výzkumníci Sojun Ryu a Vasily Berdnikov. „Pro laterální pohyb byla využita také jednodenní zranitelnost v Innorix Agent.“

Útoky připravily půdu pro varianty známých nástrojů skupiny Lazarus, jako jsou ThreatNeedle, AGAMEMNON, wAgent, SIGNBT a COPPERHEDGE.

Co činí tyto průniky obzvláště účinnými, je pravděpodobné zneužití bezpečnostní zranitelnosti v Cross EX, legitimním softwaru rozšířeném v Jižní Koreji, který umožňuje používání bezpečnostního softwaru v online bankovnictví a na vládních webech pro podporu anti-keyloggingu a digitálních podpisů na bázi certifikátů.

„Skupina Lazarus prokazuje hluboké porozumění těmto specifikům a využívá strategii zaměřenou na Jižní Koreu, která kombinuje zranitelnosti v takovém softwaru s útoky typu watering hole,“ uvedl ruský dodavatel kybernetické bezpečnosti.

Zneužití bezpečnostní chyby v Innorix Agent pro laterální pohyb je pozoruhodné i proto, že podobný přístup v minulosti použil i subklastr Andariel skupiny Lazarus k šíření malwaru jako Volgmer a Andardoor.

Výchozím bodem poslední vlny útoků byl watering hole útok, který spustil nasazení ThreatNeedle poté, co cíle navštívily různé jihokorejské online zpravodajské stránky. Návštěvníci byli filtrováni pomocí serverového skriptu před přesměrováním na doménu ovládanou útočníky, kde jim byl doručen malware.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS