Analytikere finner forbindelse mellom den nordkoreanske militæren og crimeware-organisasjonen TrickBot

Nord-Korea garanterer sannsynligvis cyberangrep fra gruvedriften Monero AlienVault-trusselingeniør Chris Doman forklarer en ny rapport om malware som gruver Monero-mynter, og sender dem deretter til et nordkoreansk universitet i Pyongyang.

Cybersecurity-analytikere ved de nyopprettede SentinelLabs sier at de har funnet noen av de første harde koblingene mellom crimeware-organisasjonen TrickBot og Lazarus Group, cyberwarfare-avdelingen i det nordkoreanske militærets generalsekretær for rekognosering.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Siden debuteringen høsten 2016 som en bank malware, har Trickbot utviklet seg til å være et eksempel på den spirende cybercrime-as-a-service-bevegelsen, fant forskere.

SentinelLabs leder cybersecurity-forsker Vitali Kremez sa TrickBot er "en fleksibel, universell, modulbasert crimeware-løsning" som "har blitt utviklet for å spesifikt angripe selskaper" ved å bruke automatisering, desentralisering og integrasjon for å øke kraften i angrepene.

"Cybercrime-grupper som TrickBot, som tilbyr sine cybercrime-as-a-service til kriminelle enheter med forskjellige mål og mål, er alltid ute etter å bryte seg inn i nye markeder og finne andre hackingantrekk å selge malware-settene sine til, " sa Kremez.

"Men fordi mange nasjonalstatlige grupper sjelden har økonomiske mål, har det vært bemerkelsesverdig for TrickBot å få fotfeste på denne arenaen. Bevis på at de nå er knyttet til tidligere til avansert vedvarende trusselskadeprogram som Lazarus, er en indikasjon på et kvanteskifte i verden av nettkriminalitet. "

Lazarus Group Attacks

I fjor slapp det amerikanske justisdepartementet en 179 sider lang tiltale mot det 34 år gamle Lazarus Group-medlem Park Jin Hyok for dusinvis av angrep tilskrevet den nordkoreanske gruppen.

Amerikanske tjenestemenn sa at angrepene inkluderte WannaCry ransomware-utbrudd i 2017, et forsøk på hack på Lockheed Martin i 2016, den vågale 2016 Bangladesh Central Bank-cyberheisten, Sony Pictures-hackingen i 2014, brudd på AMC Theatres og flere angrep på sørkoreanske nyhetsorganisasjoner, banker og militære enheter det siste tiåret.

"De faktiske forhold som er angitt i denne erklæringen beskriver en omfattende, flerårig konspirasjon for å utføre dataintrusjoner og begå ledningssvindel av medsammensvorne som jobber på vegne av regjeringen for Den demokratiske folkerepublikken Korea, ofte kjent som 'DPRK' eller 'Nord-Korea, ' mens han befinner seg der og i Kina, blant andre steder, »skrev FBI-agent Nathan Shields.

"Konspirasjonen målrettet datamaskiner som tilhører underholdningsselskaper, finansinstitusjoner, forsvarsentreprenører og andre med det formål å forårsake skade, trekke ut informasjon og stjele penger, blant andre grunner."

Lazarus Group har vært assosiert med andre angrep på finansinstitusjoner over hele verden siden 2015, og sist stjal 10 millioner dollar fra Banco de Chile. Denne heist er det som hjalp Kremez og teamet hans til å koble Lazarus til TrickBot, sa han.

Spesiell rapport: Cyberwar og fremtiden for cybersecurity (gratis PDF) (TechRepublic Premium)

I en langvarig studie og tilsvarende blogginnlegg forklarte SentinelLabs-forskerne Joshua Platt, Jason Reaves og Kremez raffinementet og kraften til både Lazarus Group og TrickBot, mens de detaljerte de nyvunne koblingene mellom de to.

Evnen til å sømløst integrere den avanserte vedvarende trusselen i en forretningsmodell for inntektsgenerering er bevis på et kvanteforskyvning.

"Ved å oppnå denne integrasjonen, demonstrerer TrickBot åpenlyst at de har oppnådd et kvalitativt nytt nivå av en nettkriminalitetsbedrift, som aldri ble sett før i omfang og kompleksitet som erstatter og ødelegger arven fra de tidligere inspirasjonene og lekeplassen sin kjent som 'Business Club.' "

TrickBot fokuserte opprinnelig sin energi først og fremst på å angripe australske banker, men gikk videre til å treffe finansinstitusjoner i New Zealand, Storbritannia, Tyskland og Canada. Det som gjør TrickBot så effektiv er dens evne til å legge til flere evner og utvikle seg, sa forskere.

I 2017 sa Kremez at skadelig programvare hadde avansert automatisering innebygd det, noe som muliggjorde "ormlignende spredning i nettverket etter den første infeksjonen."

SentinelLabs laboratorierapport sa at TrickBot var i stand til å "Uberize" arbeidet sitt ved å i hovedsak "fremleie" verktøyene sine til andre grupper som forsøker å utføre forskjellige typer hacks, ved å bruke en kombinasjon av annen skadelig programvare inkludert svært infektiv Emotet, IcedID / BokBot og Gozi ISFB v2 ."

"TrickBot og modulene handlet på følgende viktige måter: en perfekt informasjonsstaler som griper tak i personlig informasjon, som deretter ble solgt i undergrunnen og brukt privat, en bankmann, som stjal bedriftsdata som tjente penger på kontoovertakelse og kortsvindel, en distributør, som leverte ransomware, og en kryptominer, "la rapporten til.

"Desentralisering skapte en fleksibel forretningsmodell, der TrickBot tilbød angrepsverktøy til kontrollerte leverandører og brukte andres verktøy for å øke smittsomheten. Ved å uskarpe linjene mellom brudd, datatyveri, ransomware og cybersvindel har gruppen nesten nådd høydepunktet og nesten forente nettkriminalitetsområdene. Imidlertid var det en siste utfordring som skilte TrickBot fra perfeksjon - de avanserte vedvarende truslene. "

Prosjektanker

SentinelLabs-rapporten sa normalt, TrickBot-utviklere ville ikke ha noen grunn til å utføre den typen avanserte vedvarende trusseangrep som militære grupper engasjerer seg i. Militære operasjoner tar generelt sikte på å infiltrere systemer og holde seg skjult slik at de kan få så mye informasjon som mulig så lenge som mulig.

Men Kremez sa at de siste 18 månedene har medlemmene i Lazarus Group fått fullmakt av sine overordnede innen det nordkoreanske militærets "Bureau 121" til å angripe cryptocurrency-børser, finansinstitusjoner, frivillige organisasjoner og sørkoreanske individer.

"Mange Nord-Korea cyberoperatører er sannsynligvis ikke bare selvfinansierte, men har også i oppgave å tjene inntekter for det nordkoreanske regimet; Lazarus Group har sannsynligvis målrettet banker cryptocurrency børser og brukere for å oppnå dette målet, " skriver Platt, Reaves og Kremez i bloggen post.

De to ble forent i et TrickBot-prosjekt med navnet "Anchor." SentinelLabs-rapporten beskriver prosjektet som et jack-of-all-trades hacking toolkit, og gir brukerne "et alt-i-ett-angrepsramme designet for å kompromittere bedriftsmiljøer ved bruk av både tilpassede og eksisterende verktøy."

TrickBot var i stand til å gi seg et navn på nettkriminalitetsscenen ved å være fleksibel og tilpasse verktøyene for spesifikke klienter. Anker er et annet skritt fremover for gruppen, og gir kundene et "komplekst og stealthy verktøy for målrettet datautvinning fra sikre miljøer og langvarig utholdenhet."

"Logisk sett vil dette verktøyet være en veldig fristende anskaffelse for høyprofilerte, muligens nasjonalstatlige grupper. Ankeret brukes imidlertid også til store cyber-heists og salgstjenester for korttyveri som utnytter det tilpassede skraping av skadelig programvare. nasjonalstatens grupper, er det bare noen få som er interessert i både datainnsamling og økonomisk gevinst, og en av dem er Lazarus, "heter det i rapporten.

I et intervju sa Kremez at teamet hans fant førsteklasses tekniske bevis som koblet Lazarus-verktøyet "PowerRatankba" til TrickBot "Anchor" -prosjektinfrastrukturen, blant flere titalls andre bevis.

Kremez pekte tilbake på Banco de Chile-heisten og sa at teamet hans fant bevis på at Lazarus brukte TrickBot Anchor-infrastrukturen for å distribuere "PowerRatankba" -verktøyet sine få timer etter banken.

"Integrasjonen av disse verktøyene i Ankeret innebærer at TrickBot var i stand til å overvinne den endelige barrieren i å integrere forskjellige domener i modellen sin. Ved å integrere den avanserte vedvarende trusseltilnærmingen til sin modell, gjorde gruppen virksomheten til et helhetlig økosystem for nettkriminalitet, å bli et vesentlig nytt fenomen, heter det i rapporten.

"I dette økosystemet blir ikke kriminalitet og avansert vedvarende trussel ikke lenger tåket; tvert imot skaper hver type kriminalitet merverdi for den andre, hver blir en styrkemultiplikator."

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com