Nhóm tin tặc khét tiếng có liên quan đến Triều Tiên được gọi là Nhóm Lazarus đã được quy cho một chiến dịch toàn cầu mới liên quan đến việc khai thác cơ hội các lỗ hổng bảo mật trong Log4j để triển khai các trojan truy cập từ xa (RAT) không có giấy tờ trước đây trên các máy chủ bị xâm nhập.
Cisco Talos đang theo dõi hoạt động dưới tên Chiến dịch Blacksmith, lưu ý việc sử dụng ba họ phần mềm độc hại dựa trên DLang, bao gồm RAT có tên NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên BottomLoader.
Công ty an ninh mạng mô tả các chiến thuật mới nhất của đối thủ là một sự thay đổi dứt khoát và chúng trùng lặp với cụm được theo dõi rộng rãi là Andariel (hay còn gọi là Onyx Sleet hoặc Silent Chollima), một nhóm nhỏ trong tổ chức Lazarus.
"Andariel thường được giao nhiệm vụ truy cập ban đầu, trinh sát và thiết lập quyền truy cập lâu dài cho hoạt động gián điệp để hỗ trợ lợi ích quốc gia của chính phủ Triều Tiên", các nhà nghiên cứu Jung Soo An, Asheer Malhotra và Vitor Ventura của Talos cho biết trong một báo cáo kỹ thuật được chia sẻ với The Hacker .
Các chuỗi tấn công liên quan đến việc khai thác CVE-2021-44228 (hay còn gọi là Log4Shell) chống lại các máy chủ VMWare Horizon có thể truy cập công khai để cung cấp NineRAT. Một số lĩnh vực nổi bật được nhắm mục tiêu bao gồm sản xuất, nông nghiệp và an ninh vật lý.
Việc lạm dụng Log4Shell không có gì đáng ngạc nhiên khi thực tế là 2,8% ứng dụng vẫn đang sử dụng các phiên bản dễ bị tấn công của thư viện (từ 2.0-beta9 đến 2.15.0) sau hai năm tiết lộ công khai, theo Veracode, với 3,8% khác sử dụng Log4j 2.17.0, mặc dù không dễ bị CVE-2021-44228, nhưng dễ bị CVE-2021-44832.
NineRAT, được phát triển lần đầu khoảng tháng 5 năm 2022, được cho là đã được triển khai từ tháng 3 năm 2023 trong một cuộc tấn công nhắm vào một tổ chức nông nghiệp ở Nam Mỹ, và sau đó lại vào tháng 9 năm 2023 đối với một tổ chức sản xuất ở châu Âu. Bằng cách sử dụng một dịch vụ nhắn tin hợp pháp như Telegram để giao tiếp với C2, mục tiêu là tránh bị phát hiện.
Phần malware này hoạt động như phương tiện chính để tương tác với điểm cuối bị nhiễm, cho phép kẻ tấn công gửi lệnh để thu thập thông tin hệ thống, tải lên các tệp quan trọng, tải xuống các tệp bổ sung, và thậm chí là gỡ cài đặt và nâng cấp chính nó.
"Khi NineRAT được kích hoạt, nó chấp nhận các lệnh sơ bộ từ kênh C2 dựa trên Telegram, nhằm mục lại các hệ thống bị nhiễm," các nhà nghiên cứu lưu ý.
"Việc lấy lại dấu vân tay của các hệ thống bị nhiễm chỉ ra rằng dữ liệu được Lazarus thu thập thông qua NineRAT có thể được chia sẻ bởi các nhóm APT khác và về cơ bản nằm trong một kho lưu trữ khác với dữ liệu vân tay được Lazarus thu thập ban đầu trong giai đoạn triển khai truy cập và cấy ghép ban đầu của họ."
Cũng được sử dụng trong các cuộc tấn công sau khi trinh sát ban đầu là một công cụ proxy tùy chỉnh có tên HazyLoad trước đây được Microsoft xác định là được tác nhân đe dọa sử dụng như một phần của sự xâm nhập vũ khí hóa các lỗ hổng bảo mật nghiêm trọng trong JetBrains TeamCity (CVE-2023-42793, điểm CVSS: 9.8). HazyLoad được tải xuống và thực thi bằng một phần mềm độc hại khác có tên là BottomLoader.
Hơn nữa, Chiến dịch Blacksmith đã được quan sát thấy cung cấp DLRAT, vừa là trình tải xuống vừa là RAT được trang bị để thực hiện trinh sát hệ thống, triển khai phần mềm độc hại bổ sung và truy xuất các lệnh từ C2 và thực thi chúng trong các hệ thống bị xâm nhập.
"Nhiều công cụ cho phép nhập cửa hậu chồng chéo mang lại cho Lazarus Group sự dư thừa trong trường hợp một công cụ được phát hiện, cho phép truy cập liên tục cao", các nhà nghiên cứu cho biết.
Việc khai thác Log4Shell của Andariel không phải là mới, vì nhóm hacker đã sử dụng lỗ hổng này như một vectơ truy cập ban đầu trong quá khứ để cung cấp một trojan truy cập từ xa được gọi là EarlyRat.
Tiết lộ được đưa ra khi Trung tâm Ứng phó Khẩn cấp Bảo mật AhnLab (ASEC) nêu chi tiết việc Kimsuky sử dụng các phiên bản AutoIt của phần mềm độc hại như Amadey và RftRAT và phân phối chúng thông qua các cuộc tấn công lừa đảo mang các tệp đính kèm và liên kết bị mắc kẹt trong nỗ lực vượt qua các sản phẩm bảo mật.
Kimusky, còn được biết đến với các tên APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (trước đây là Thallium), Nickel Kimball và Velvet Chollima, là một phần tử hoạt động dưới Tổng cục Trinh sát Bắc Triều Tiên (RGB), cũng là nơi đặt Tập đoàn Lazarus.
Ngày 30 tháng 11 năm 2023, Bộ Tài chính Hoa Kỳ đã áp đặt trừng phạt đối với nhóm Kimsuky vì thu thập thông tin tình báo để hỗ trợ các mục tiêu chiến lược của chế độ.