Új, kifinomult támadási módszer
A támadók vélhetően pénzügyi haszonszerzés miatt vettek célba amerikai célpontokat. Első körben társadalmi manipulációval és adathalászattal jutnak be, majd több lépcsőben telepítik az új hátsóajtót, a Dohdoor nevű kártevőt, amely technikájában hasonló a hírhedt Lazarus Group eszközeihez. Adathalász e-mailekkel szereznek hozzáférést, egy PowerShell-alapú letöltő pedig Windows-batch szkriptet futtat, amely távoli szerverről egy rosszindulatú .dll fájlt helyez el – tipikusan propsys.dll vagy batmeter.dll néven.
Mi is az a Dohdoor?
A Dohdoor egy olyan betöltő, amely letölti, dekódolja, majd legitim Windows-folyamatokon belül futtatja a rosszindulatú komponenseket. Ezután letölti a következő lépcsőt, például a Cobalt Strike Beacon nevű kiberfegyvert, amellyel már a memóriában tevékenykednek a támadók. Többféle rejtőzködési technikát alkalmaznak: például Cloudflare-infrastruktúrát használnak az információcserére, és DNS-over-HTTPS-szel leplezik, hogy kivel kommunikálnak. Így minden kimenő forgalom megbízható HTTPS-forgalomnak tűnik, tehát kikerülik a szokásos DNS-alapú védelmet.
Az észlelés kijátszása és a célpontok
A malware process hollowing technikával juttatja saját kódját legitim Windows-futtatható állományba, és külön EDR (végponti detektálás és válasz) megkerülésére is alkalmaz technikákat: például az ntdll.dll-ben user-mode hookokat távolít el, vagyis megkerüli a Windows API-hívások figyelését. Ezek a módszerek korábban már felbukkantak a LazarLoader kampányokban is.
Pontosabban az UAT-10027 kódnevű csoport támadásai műszaki szempontból sokban hasonlítanak a Lazarus Group módszereihez, viszont szokatlan módon ezúttal az egészségügy és az oktatás, nem pedig a kriptovaluta- vagy hadipari szektor esett áldozatul.
Észak-koreai kapcsolatok és korábbi támadások
A közelmúltban más biztonsági cégek is figyelmeztettek hasonló, zsarolással párosuló támadásokra amerikai egészségügyi célpontok ellen, amelyeket a Lazarus csoport egyik leghatékonyabb alosztálya, az Andariel is bevetett már – amely Észak-Korea katonai hírszerzésének „kiberkarja”. Hasonló tevékenységet folytatott már a szintén phenjani érdekeltségű BlueNoroff is különböző nyugati intézmények ellen.
Összességében elmondható, hogy Észak-Korea digitális fegyverarzenálja egyre kifinomultabb, a támadások célpontjai pedig már nem korlátozódnak a pénzügyi szektorra. Az oktatási és egészségügyi szervezeteknek fokozott figyelmet kell fordítaniuk saját védelmi rendszerük megerősítésére, hiszen a következő célpont bárki lehet.
