הקבוצה שמשתמשת בוואטסאפ לתקוף מטרות

במהלך כנס ESET World השנתי, חוקרי חברת האבטחה ESET הציגו ממצאי מחקר חדשים הנוגעים לקבוצת Lazarus הידועה לשמצה ולמתקפתם מכוונת המטרות בתחום האבטחה מכל העולם, החל מסוף 2021 ועד מרץ 2022.

לפי נתוני הטלמטריה של החברה, המטרות היו בעיקר מדינות אירופה ובהן צרפת, איטליה, ספרד, גרמניה, צ'כיה, הולנד, פולין ואוקראינה, במזרח התיכון טורקיה וקטאר וברזיל שבדרום אמריקה.

הקבוצה השתמשה בשירותים כמו וואטסאפ ולינקדאין כחלק מקמפייני הגיוס המזויפים שלהם. על פי הממשל האמריקני, קבוצת Lazarus קשורה למשטר הצפון-קוריאני.

במהלך הכנס השנתי, חוקרי חברת אבטחת המידע ESET הציגו ממצאים חדשים הנוגעים לקבוצת Lazarus הידועה לשמצה. מנהל חקר האיומים בחברה, ז'אן-יאן בוטין, בחן כמה קמפיינים חדשים שהוצאו לפועל ע"י קבוצת Lazarus נגד מטרות אבטחה מכל העולם, החל מסוף 2021 ועד מרץ 2022.

על פי נתוני הטלמטריה הנוגעים למתקפות מהתקופה הזו, קבוצת Lazarus כיוונה את מתקפותיה לחברות באירופה (צרפת, איטליה, ספרד, גרמניה, צ'כיה, הולנד, פולין ואוקראינה) ובדרום אמריקה (ברזיל).

אף על פי שמטרתה העיקרית של הפעולה היה ריגול סייבר, הקבוצה פעלה גם כדי לסחוט כספים (אך ללא הצלחה). "קבוצת האיום Lazarus פעלה באופן חדשני באמצעות שימוש בסט כלים מעניין, הכולל רכיב הפונה למשתמש הקצה ומסוגל לנצל פרצה בדרייבר של חברת DELL כדי לכתוב לזיכרון ה-Kernel. הטריק המתקדם הזה שימש לעקוף את הניטור של פתרונות אבטחה", ציין ז'אן-יאן בוטין.

כבר ב-2020, חוקרי ESET חשפו קמפיין שהופעל על ידי קבוצת-בת של Lazarus וכוון נגד מטרות בתחום התעופה וההגנה, שחוקרי החברה כינו בשם In(ter)ception. הקמפיין ראוי לציון מכיוון שהשתמש ברשתות חברתיות, בייחוד בלינקדאין, כדי לבנות אמון בין התוקף ובין עובד תמים לפני שליחת רכיבים זדוניים תוך התחזות לתיאורי משרות או הצעות עבודה. בתקופה הזו, חברות בברזיל, צ'כיה, קטאר, טורקיה ואוקראינה כבר הותקפו.

חוקרי ESET מאמינים שהפעולה כוונה בעיקר נגד חברות אירופאיות, אך באמצעות מעקב אחרי מספר קבוצות-בת של Lazarus שמבצעות פעולות דומות כנגד קבלנים בתחום ההגנה, החוקרים הבינו במהרה שהקמפיין התרחב לטווח הרבה יותר גדול. הנוזקות בהן הקבוצה השתמשה בכל קמפיין וקמפיין היו שונות, אך אופן הפעולה היה דומה: מגייס מתחזה יצר קשר עם עובד דרך לינקדאין, ושלח רכיבים זדוניים בשלב מסוים.

הקבוצה ממשיכה להשתמש באותו אופן הפעולה בו השתמשה בעבר. עם זאת, במקרה הזה חוקרי ESET חשפו שימוש חוזר בקמפייני גיוס לגיטימיים כדי לייצר לגיטימציה מסוימת לקמפייני הגיוס של המגייסים המתחזים. בנוסף, התוקפים השתמשו בשירותים כמו וואטסאפ וסלאק בקמפיינים הזדוניים שלהם.

'בחדרי' גם ברשתות החברתיות - הצטרפו!