Threat Database Malware ThreatNeedle Malware

ThreatNeedle Malware

ThreatNeedle Malware er en bagdørstrussel, som infosec-forskere har observeret at være en del af det truende arsenal af den nordkoreanske ATP-gruppe (Advanced Persistent Threat) kaldet Lazarus (også kendt som APT38 og Hidden Cobra). Første gang dette særlige stykke malware blev implementeret i et aktivt angreb var i 2018, da Lazarus målrettede mod en Hong Kong-kryptokurrencyudveksling og en mobilspilleudvikler.

I deres seneste operation er hackerne igen vendt tilbage til at bruge ThreatNeedle Malware. Denne gang er angrebskampagnen rettet mod mål fra forsvarsindustrien i over et dusin lande spredt over hele kloden. For at infiltrere de valgte mål bruger Lazarus et fint udformet spyd-phishing-skema. Hackerne indsamler oplysninger om sociale medier om en valgt medarbejder og sender derefter en tilpasset e-mail-besked designet til at se ud som om den er sendt af medarbejderens organisation. E-mailen bærer enten et Word-dokument, der er malet med malware, eller et link til en ekstern server under hackernes kontrol. Åbning af dokumentet eller klik på linket starter den første del af en angrebskæde i flere trin.

Under dette trin i angrebet udfører Lazarus hovedsageligt den indledende rekonstruktion, og derefter bestemmes det, om angrebet vil blive eskaleret ved at droppe yderligere malware på det kompromitterede system og begynde at bevæge sig sideværts gennem det interne netværk. ThreatNeedle giver hackerne mulighed for at få fuld kontrol over systemet, udføre vilkårlige kommandoer, manipulere fil- og katalogsystemerne, indsamle og exfiltrere data, kontrollere bagdørsprocesserne og tvinge den inficerede enhed til at gå i dvaletilstand eller gå i dvaletilstand.

Det mest truende aspekt af denne seneste operation udført af Lazarus er hackernes evne til at overvinde netværkssegmentering. Dette betyder, at selvom den målrettede organisation har delt sit interne netværk i en del, der er forbundet med det offentlige internet og en sektion, der er isoleret. Overtrædelsen udføres ved at tage kontrol over en intern routerenhed og konfigurere den til at fungere som en proxyserver. Angriberne kan derefter exfiltrere data indsamlet fra Intranet-netværket til deres eksterne server.

Trending

Mest sete

Indlæser...