Setidaknya enam organisasi di Korea Selatan telah ditargetkan oleh kelompok Lazarus yang terhubung dengan Korea Utara sebagai bagian dari kampanye yang dijuluki Sinchole Operasi.
Kegiatan ini menargetkan perangkat lunak Korea Selatan, TI, keuangan, manufaktur semikonduktor, dan industri telekomunikasi, menurut laporan dari Kaspersky yang diterbitkan hari ini. Bukti kompromi paling awal pertama kali terdeteksi pada November 2024.
Kampanye ini melibatkan “kombinasi canggih dari strategi lubang air dan eksploitasi kerentanan dalam perangkat lunak Korea Selatan,” kata peneliti keamanan Sojun Ryu dan Vasily Berdnikov. “Kerentanan satu hari di agen Innorix juga digunakan untuk gerakan lateral.”
Serangan telah diamati membuka jalan bagi varian alat -alat Lazarus yang diketahui seperti Ancripneedle, Agamemnon, Wagent, Signbt, dan Copperhedge.
Apa yang membuat intrusi ini sangat efektif adalah kemungkinan eksploitasi kerentanan keamanan di Cross Ex, perangkat lunak yang sah yang lazim di Korea Selatan untuk memungkinkan penggunaan perangkat lunak keamanan di perbankan online dan situs web pemerintah untuk mendukung tanda tangan digital berbasis anti-keylogging dan sertifikat.
“Kelompok Lazarus menunjukkan pemahaman yang kuat dari spesifik ini dan menggunakan strategi bertarget Korea Selatan yang menggabungkan kerentanan dalam perangkat lunak seperti itu dengan serangan lubang air,” kata vendor keamanan siber Rusia.
Eksploitasi cacat keamanan dalam agen Innorix untuk gerakan lateral terkenal karena fakta bahwa pendekatan yang sama juga telah diadopsi oleh sub-cluster Andariel dari kelompok Lazarus di masa lalu untuk memberikan malware seperti Volgmer dan Andardoor.
Titik awal gelombang serangan terbaru adalah serangan lubang air, yang mengaktifkan penyebaran ancaman setelah target mengunjungi berbagai situs media online Korea Selatan. Pengunjung yang mendarat di situs disaring menggunakan skrip sisi server sebelum mengarahkan mereka ke domain yang dikendalikan musuh untuk menyajikan malware.
“Kami menilai dengan keyakinan sedang bahwa situs yang dialihkan mungkin telah mengeksekusi skrip jahat, menargetkan kelemahan potensial di Cross Ex yang diinstal pada PC target, dan meluncurkan malware,” kata para peneliti. “Naskah kemudian pada akhirnya mengeksekusi synchost.exe yang sah dan menyuntikkan sebuah shellcode yang memuat varian ancaman ancaman ke dalam proses itu.”
Urutan infeksi telah diamati mengadopsi dua fase, menggunakan ancaman dan mengibas -ngibaskan pada tahap awal dan kemudian SignBT dan Copperhedge untuk membangun kegigihan, melakukan pengintaian, dan memberikan alat pembuangan kredensial pada host yang dikompromikan.
Juga digunakan adalah keluarga malware seperti LPECLIENT untuk profil korban dan pengiriman muatan, dan pengunduh yang dijuluki Agamemnon untuk mengunduh dan melaksanakan muatan tambahan yang diterima dari server perintah-dan-kontrol (C2), sementara secara bersamaan memasukkan teknik gerbang neraka untuk melewati solusi keamanan selama eksekusi.
Satu muatan yang diunduh oleh Agamemnon adalah alat yang dirancang untuk melakukan gerakan lateral dengan mengeksploitasi cacat keamanan pada alat transfer file Innorix Agent. Kaspersky mengatakan investigasinya menggali tambahan file yang sewenang-wenang, unduh kerentanan nol-hari di agen Innorix yang sejak itu telah ditambal oleh pengembang.
“Serangan khusus kelompok Lazarus yang menargetkan rantai pasokan di Korea Selatan diperkirakan akan berlanjut di masa depan,” kata Kaspersky.
“Para penyerang juga melakukan upaya untuk meminimalkan deteksi dengan mengembangkan malware baru atau meningkatkan malware yang ada. Secara khusus, mereka memperkenalkan peningkatan komunikasi dengan C2, struktur perintah, dan cara mereka mengirim dan menerima data.”
