Търсене
Close this search box.

Севернокорейски хакери са свързани с атака на веригата за доставки в отбранителния сектор

В консултативен документ от днес Федералната разузнавателна служба на Германия (BfV) и Националната разузнавателна служба на Южна Корея (NIS) предупреждават за продължаваща операция за кибершпионаж, насочена към световния отбранителен сектор от името на правителството на Северна Корея.

Целта на атаките е да се открадне информация за съвременни военни технологии и да се помогне на Северна Корея да модернизира конвенционалните оръжия, както и да развива нови военни способности.

В днешния съвместен съвет за киберсигурност (достъпен също на корейски и немски език) се обръща внимание на два случая, приписвани на севернокорейски банди, едната от които  –  „Лазарус“, за да се предоставят тактиките, техниките и процедурите (TTP), използвани от нападателите.

Атака по веригата за доставки

Според консултацията първият случай се отнася до инцидент, станал в края на 2022 г., когато „севернокорейски изпълнител е проникнал в системите на изследователски център за морски и корабни технологии“ и „е извършил атака по веригата на доставки“, като е компрометирал фирмата, която е управлявала операциите по поддръжка на уеб сървърите на целевата организация

Нарушителят е следвал верига от атаки, която е включвала кражба на SSH пълномощия, злоупотреба с легитимни инструменти, странично придвижване в мрежата и опит да остане скрит в инфраструктурата.

По-конкретно, в консултацията са изброени следните стъпки на атаката:

  1. Проникнато е в компанията за поддръжка на уеб сървъри, откраднати са SSH пълномощията и е получен достъп до Linux уеб сървъра на изследователския център.
  2. Изтеглил злонамерени файлове (инструмент за тунелиране, Base64 Python скрипт), като използвал легитимни инструменти като curl, изтеглени от сървърите за командване и контрол (C2).
  3. Проведено е странично движение: установен е SSH достъп до други сървъри, използван е tcpdump за събиране на пакети и са откраднати идентификационни данни за акаунти на служители.
  4. Представил се за мениджър по сигурността, като използвал открадната информация за акаунта, и се опитал да разпространи зловреден файл с кръпка чрез PMS, но бил блокиран от истинския мениджър.
  5. Продължил да действа, като използвал уязвимостта на уебсайта за качване на файлове, качил уеб обвивка и изпратил имейли за копие-фишинг.

Supply chain attack overview

Преглед на атаките по веригата на доставки (verfassungsschutz.de)

Като е компрометирал първо доставчика на ИТ услуги, севернокорейската заплаха е застанала  между двете, за да извърши тайни атаки с малки, внимателни стъпки.

В бюлетина се предлагат няколко мерки за сигурност срещу тези атаки, включително ограничаване на достъпа на доставчиците на ИТ услуги до системите, необходими за отдалечена поддръжка, внимателно наблюдение на дневниците за достъп с цел откриване на събития с неоторизиран достъп, използване на многофакторна автентикация (MFA) за всички акаунти и приемане на строги политики за автентикация на потребителите за системата за управление на кръпките (PMS).

Социално инженерство

Вторият пример показва, че „Операция Dream Job“ на групата Lazarus – тактика, която севернокорейците използват срещу служители на фирми за криптовалути и разработчици на софтуер – е била използвана и срещу отбранителния сектор.

ESET подчерта подобен инцидент през септември 2023 г., когато Lazarus се насочва към служител на аерокосмическа компания в Испания, за да зарази системите със задната врата „LightlessCan“.

В бюлетина за сигурност се подчертава случай, при който Lazarus създава акаунт в онлайн портал за работа, като използва фалшиви или откраднати лични данни на съществуващо лице и го курира с течение на времето, така че да се свърже с правилните хора за целите на социалното инженерство в кампанията.

След това  заплахата използва този акаунт, за да се обърне към хора, работещи за отбранителни организации, и се свързва с тях, за да започне разговор на английски език, като бавно изгражда връзка в продължение на няколко дни, седмици или дори месеци.

След като спечели доверието на жертвата, заплахата ѝ предлага работа и предлага външен канал за комуникация, където може да сподели злонамерен PDF файл, който е описан като документ с подробности за офертата.

Този файл обикновено е пусково устройство на първия етап, което пуска зловреден софтуер на компютъра на мишената, който Lazarus след това използва като първоначална опорна точка за придвижване в корпоративната мрежа.

В някои случаи Lazarus изпраща ZIP файл, който съдържа злонамерен VPN клиент, който използват за достъп до мрежата на работодателя на жертвата.

Overview of Lazarus' social engineering attack

Преглед на атаката на Lazarus за социално инженерство (verfassungsschutz.de)

Въпреки че това са известни тактики, те все още могат да бъдат успешни, ако организациите не обучават служителите си за най-новите тенденции в кибератаките.

Възприемането на принципа на най-малките привилегии и ограничаването на достъпа на служителите само до системите, от които се нуждаят, трябва да бъде началото на една добра позиция по отношение на сигурността.

Добавянето на силни механизми и процедури за удостоверяване на системата за управление на кръпките и поддържането на одитни дневници, които включват достъпа на потребителите, трябва да подобри позицията по отношение на сигурността.

За атаките на социалния инженеринг двете агенции препоръчват служителите да се обучават на обичайните тактики.

 

Източник: e-security.bg

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!