Ngày 02 tháng 2 năm 2023Ravie LakshmananChăm sóc sức khỏe / Tấn công mạng
Một chiến dịch thu thập thông tin tình báo mới có liên quan đến Tập đoàn Lazarus do nhà nước Bắc Triều Tiên tài trợ đã tận dụng các lỗ hổng bảo mật đã biết trong các thiết bị Zimbra chưa được vá để xâm nhập hệ thống của nạn nhân.
Đó là theo công ty an ninh mạng Phần Lan WithSecure (trước đây là F-Secure), đặt tên mã cho sự cố là No Pineapple liên quan đến một thông báo lỗi được sử dụng ở một trong các cửa hậu.
Mục tiêu của hoạt động độc hại bao gồm một tổ chức nghiên cứu chăm sóc sức khỏe ở Ấn Độ, khoa kỹ thuật hóa học của một trường đại học nghiên cứu hàng đầu, cũng như nhà sản xuất công nghệ được sử dụng trong lĩnh vực năng lượng, nghiên cứu, quốc phòng và chăm sóc sức khỏe, cho thấy nỗ lực xâm phạm nguồn cung cấp chuỗi.
Ước tính khoảng 100GB dữ liệu đã được nhóm tin tặc xuất ra sau sự xâm phạm của một khách hàng giấu tên, với vụ đột nhập kỹ thuật số có khả năng diễn ra vào quý 3 năm 2022.
WithSecure cho biết trong một báo cáo kỹ thuật chi tiết được chia sẻ với The Hacker News: “Kẻ đe dọa đã giành được quyền truy cập vào mạng bằng cách khai thác một máy chủ thư Zimbra dễ bị tấn công vào cuối tháng 8.
Các lỗi bảo mật được sử dụng để truy cập ban đầu là CVE-2022-27925 và CVE-2022-37042, cả hai đều có thể bị lạm dụng để thực thi mã từ xa trên máy chủ bên dưới.
Bước này đã thành công nhờ việc cài đặt trình bao web và khai thác lỗ hổng leo thang đặc quyền cục bộ trong máy chủ Zimbra (tức là Pwnkit hay còn gọi là CVE-2021-4034), do đó cho phép kẻ đe dọa thu thập dữ liệu hộp thư nhạy cảm.
Sau đó, vào tháng 10 năm 2022, kẻ thù được cho là đã thực hiện di chuyển ngang, do thám và cuối cùng là triển khai các cửa hậu như Dtrack và phiên bản cập nhật của GREASE.
GREASE, được cho là sản phẩm của một nhóm mối đe dọa khác có liên quan đến Triều Tiên có tên là Kimsuky, có khả năng tạo tài khoản quản trị viên mới với các đặc quyền của giao thức máy tính từ xa (RDP) đồng thời lách luật tường lửa.
Mặt khác, Dtrack đã được sử dụng trong các cuộc tấn công mạng nhằm vào nhiều ngành dọc khác nhau và cả trong các cuộc tấn công có động cơ tài chính liên quan đến việc sử dụng Maui ransomware.
“Vào đầu tháng 11, Cobalt Strike [command-and-control] đèn hiệu đã được phát hiện từ một máy chủ nội bộ đến hai địa chỉ IP của tác nhân đe dọa”, các nhà nghiên cứu Sami Ruohonen và Stephen Robinson chỉ ra, đồng thời cho biết thêm việc đánh cắp dữ liệu xảy ra từ ngày 5 tháng 11 năm 2022 đến ngày 11 tháng 11 năm 2022.
Cũng được sử dụng trong vụ xâm nhập là các công cụ như Plink và 3Proxy để tạo proxy trên hệ thống nạn nhân, lặp lại những phát hiện trước đây của Cisco Talos về các cuộc tấn công của Tập đoàn Lazarus nhắm vào các nhà cung cấp năng lượng.
Các nhóm tin tặc do Triều Tiên hậu thuẫn đã có một năm 2022 bận rộn, tiến hành một loạt vụ trộm tiền điện tử và hoạt động gián điệp phù hợp với các ưu tiên chiến lược của chế độ.
Gần đây nhất, cụm BlueNoroff, còn được biết đến với tên APT38, Copernicium, Stardust Chollima và TA444, được kết nối với các cuộc tấn công thu thập thông tin xác thực trên diện rộng nhằm vào các lĩnh vực giáo dục, tài chính, chính phủ và chăm sóc sức khỏe.
