A fejlett állandó fenyegetéseket (APT) alkalmazó támadók folyamatosan fejlesztik működési módszereiket. Míg egyesek következetesen ugyanazt a stratégiát alkalmazzák, addig mások új technikákat, taktikákat és eljárásokat vetnek be. A harmadik negyedévben a Kaspersky kutatói azt tapasztalták, hogy a fejlett állandó fenyegetések terén igen eredményes Lazarus-csoport ellátásilánc-támadási eszközöket fejleszt, és kiberkémkedési célokra használja a többplatformos MATA keretrendszerét. Ezt a jelenséget, valamint a világszerte tapasztalható egyéb APT-trendeket vizsgálja a Kaspersky legújabb negyedéves fenyegetéselemzési összefoglalója.
A Lazarus a világ egyik legaktívabb hekkercsoportja, mely legalább 2009 óta működik. Ez az APT-csoport állt több nagyszabású kiberkémkedési és zsarolóvírusos kampány mögött, emellett a védelmi ipar és a kriptovaluta-piac elleni támadásokkal is összefüggésbe hozhatók. Úgy tűnik, a fejlett eszközök széles tárházával rendelkező csoport most új célokat tűzött ki maga elé.
A Kaspersky kutatói 2021 júniusában megfigyelték, hogy a Lazarus-csoport a védelmi ipart támadja a MATA keretrendszerét alkalmazva, amely három operációs rendszert - a Windowst, a Linuxot és a macOS-t - képes célba venni. A Lazarus eddig különféle iparágak elleni kiberbűnőzéses támadásokhoz, többek között ügyféladatbázis-lopásokhoz és zsarolóvírus-terjesztéshez használta a MATA rendszert, most azonban a szakemberek azt tapasztalták, hogy kiberkémkedés céljára vetik be. A hekkercsoport a kiválasztott áldozata által használt alkalmazás trójai vírussal fertőzött verzióját alkalmazta - ez egyébként egy jól ismert, jellemző módszere a Lazarusnak. Nem ez az első alkalom egyébként, amikor a Lazarus-csoport a védelmi iparág ellen indít támadást, a korábbi Threat Needle elnevezésű akciójukat is hasonló módon hajtották végre 2020 közepén.
Kiderült az is, hogy a Lazarus ellátásilánc-támadási képességeket épít ki; ehhez egy frissített DeathNote klasztert használ, ami a korábban már az USA kiberbiztonsági és infrastruktúra-biztonsági ügynöksége (CISA) által is jelentett BLINDINGCAN malware enyhén módosított variánsát tartalmazza. A Kaspersky kutatói olyan kampányokra bukkantak, amelyek egy dél-koreai kutatóközpontot és egy informatikai eszközfelügyeleti megoldásokat gyártó vállalatot támadtak. A szakemberek által felfedezett első esetnél a Lazarus olyan fertőzési láncot dolgozott ki, amely egy kártékony payloadot alkalmazó, egyébként legitim dél-koreai biztonsági szoftverből eredt; a második esetben pedig a célpont egy eszközfelügyeleti megoldásokat fejlesztő lettországi vállalat volt, amely nem tekinthető a Lazarus tipikus áldozatának. A fertőzési láncban a Lazarus egy "Racket" nevű letöltőprogramot használt, amelyet lopott tanúsítvánnyal írtak alá. A hekkercsoport sérülékeny webszervereket támadott, és feltöltött szkriptekkel szűrte és vezérelte a kártékony beépülő elemeket a sikeresen feltört gépeken.
"Ezek az új fejlemények két dologra világítanak rá: a Lazarust továbbra is érdekli a védelmi iparág, és eszköztárát az ellátási láncok iránti támadásokkal is bővíteni igyekszik. Nem ők az egyetlen APT-csoport azonban, amely ellátási láncok elleni támadást alkalmaz. Az előző negyedévben láthattunk már ilyen támadásokat a SmudgeX és a BountyGlad részéről is. Sikeres végrehajtásuk esetén az ellátási láncok elleni támadások pusztító károkat okozhatnak, és nem pusztán egy szervezetet érintően - ez világosan látszott a tavalyi Solar Winds támadásnál is. Az ilyen eszközökbe beruházó támadók jelenlétében ébernek kell maradnunk, és az adott fronton megvalósítandó védelmi erőfeszítésekre kell koncentrálnunk" - fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
A harmadik negyedévi APT trendeket vizsgáló jelentés a Kaspersky csak előfizetők számára elérhető fenyegetéselemzési jelentéseinek megállapításait foglalja össze. A jelentések tartalmazzák többek között a behatolásra utaló jelekkel (Indicators of Compromise (IoC)) kapcsolatos adatokat, valamint az elemzést és a malware-vadászatot segítő YARA szabályokat is.