- Man är inte ensam i jul, nummer om man behöver prata
- Jennifer och Elias skriver uppsats i Brasilien
- Elin Sahlberg ny socialchef i Askersunds kommun
- Kumla IBK går på julledighet som serieledare och tung förlorare
- Mingel – *Makeriet* Lördag 21 December 2024
- Nattens händelser från polisen
- Butiken Öround har stängt men konceptet lever kvar
- Klassikern Spöket på Canterville återuppstår
- Byggstart för nytt badhus i Karlskoga planeras till våren 2025
- Främjande och förebyggande insatser för barn och unga
Nordkoreanska angripare avslöjade sig själva
Nordkoreanska angripare avslöjade sig själva genom bristande säkerhet i den egna cyberattacken, IT-säkerhetsforskare på WithSecure™ kopplar en informationsinsamlingskampanj riktad mot medicinsk forskning och energiorganisationer till Nordkoreas Lazarus Group.
Delvis tack vare en angripares operativa säkerhetsmisstag har IT-säkerhetsforskare från WithSecure™ (tidigare känt som F-Secure Business) nu lyckats härleda en kampanj av cyberattacker till Nordkoreas ökända Lazarus Group.
Lazarus Group är en så kallad APT (Advanced Persistant Threat)-hotaktör som allmänt anses vara en del av Nordkoreas Foreign Intelligence and Reconnaissance Bureau. Forskare fick korn på gruppens senaste kampanj efter att en misstänkt ransomware-attack upptäcktes hos en organisation som skyddas av säkerhetsplattformen WithSecure™ Elements.
Vid närmare undersökningar av attacken fann WithSecure™-forskare flera bevis som tydde på att attacken var en del av en större informationsinsamlingskampanj, snarare än en enskild ransomware-incident.
Baserat på de insamlade bevisen kunde forskarna koppla kampanjen till Lazarus Group, som i detta fall riktade sig mot medicinsk forskning och energiorganisationer i avsikt att spionera.
Specifika attackmål som identifierades av forskarna inkluderade en forskningsorganisation inom vården, en tillverkare av teknologi som används inom energi-, forskning-, försvars- och vårdssektorn, samt en avdelning för kemiteknik vid ett ledande universitet.
– Även om detta från början misstänktes vara ett försök till en BianLian-ransomwareattack, så pekade bevisen oss snabbt i en ny riktning. I takt med att vi samlade in mer och mer bevismaterial stärktes vår övertygelse om att attacken utfördes av en grupp med anknytning till den nordkoreanska regeringen, varpå vi så småningom säkert kunde dra slutsatsen att det var Lazarus Group som låg bakom, säger Sami Ruohonen, Senior Threat Intelligence Analyst på WithSecure™
– Under vår utredning fann vi att detta var en del av en större kampanj med ett utökat antal mål, inte bara en isolerad incident. Det är extremt ovanligt att så pass klart och tydligt kunna koppla en kampanj till en gärningsman som vi har kunnat göra här, tillägger Stephen Robinson, Senior Threat Intelligence Analyst på WithSecure™.
WithSecure™-forskare kunde härleda kampanjen till Lazarus Group baserat på dess användning av taktik, teknik och procedurer i tidigare attacker av gruppen och andra angripare med Nordkorea-koppling.
Forskarna fann flera anmärkningsvärda utvecklingar i denna kampanj jämfört med tidigare Lazarus Group-aktiviteter, såsom:
- Användning av en ny infrastruktur, som bl a endast förlitar sig på IP-adresser utan domännamn (vilket är ett avsteg från tidigare attacker).
- En modifierad version av den skadliga programvaran Dtrack, vilken används för att stjäla information och som har använts av Lazarus Group och Kimsuky (en annan grupp med Nordkorea-koppling) i tidigare attacker.
- En ny version av den skadliga programvaran GREASE, som tillåter angripare att skapa nya administratörskonton med fjärrstyrningsbehörigheter som kringgår brandväggar.
Ett uppseendeväckande bevis som forskarna fann var att angriparna under kort tid använde en av mindre än tusen IP-adresser som tillhör Nordkorea. Denna IP-adress observerades under en kort tid vara ansluten till ett webbskal som kontrollerades av angriparna, vilket fick forskarna att misstänka att misstaget var manuellt och hade gjorts av gruppmedlem.
Men misstag som detta bör dock inte feltolkas av försvarare som ett skäl att sänka garden, enligt Tim West, Head of Threat Intelligence på WithSecure™.
– Trots misslyckandet visade angriparen upp ett skickligt hantverk och lyckades ändå utföra genomtänkta attacker mot noggrant utvalda slutpunkter. Även med rätt tekniker för slutpunktsdetektering måste organisationer ständigt överväga hur de reagerar på varningar. De bör även integrera fokuserad hotintelligens med regelbunden jakt efter hotaktörer för att få ett mer djupgående skydd, särskilt mot skickliga och erfarna motståndare, säger West.
Sverige/Världen
Örebronyheter
Källa WithSecure
Related Posts
Latest News
-
Man är inte ensam i jul, nummer om man behöver prata
Polisen vill alla önska en god jul och samtidigt påminna...
- Posted december 22, 2024
- 0
-
Jennifer och Elias skriver uppsats i Brasilien
Jennifer Olsson och Elias Pihlström går Sjuksköterskeprogrammet vid Örebro universitet,...
- Posted december 22, 2024
- 0
-
Elin Sahlberg ny socialchef i Askersunds kommun
Den 1 mars börjar Elin Sahlberg på sitt nya jobb...
- Posted december 22, 2024
- 0
-
Kumla IBK går på julledighet som serieledare och tung förlorare
Helgen innan jul så spelade Kumla IBKs herrar och damer...
- Posted december 22, 2024
- 0
-
Mingel – *Makeriet* Lördag 21 December 2024
*Makeriet* 2024.12.21 Lördag Stig in till Makeriet och stanna upp! Andas...
- Posted december 22, 2024
- 0
-
Nattens händelser från polisen
Nedan följer ett urval av de ärenden som polisen har...
- Posted december 22, 2024
- 0
-
Nu släpps resorna inför vintern
Missade du att boka favorithotellet inför årets julresa? För dem...
- Posted december 22, 2024
- 0
You must be logged in to post a comment Login