ThreatNeedle Malware
De ThreatNeedle Malware is een achterdeurdreiging die volgens infosec-onderzoekers deel uitmaakt van het dreigende arsenaal van de Noord-Koreaanse ATP-groep (Advanced Persistent Threat) genaamd Lazarus (ook bekend als APT38 en Hidden Cobra). De eerste keer dat dit specifieke stukje malware werd ingezet bij een actieve aanval, was in 2018 toen Lazarus zich richtte op een cryptocurrency-exchange in Hongkong en een ontwikkelaar van mobiele games.
In hun laatste operatie zijn de hackers weer teruggekeerd naar het gebruik van de ThreatNeedle Malware. Deze keer is de aanvalscampagne gericht op doelen van de defensie-industrie in meer dan een dozijn landen verspreid over de hele wereld. Om de geselecteerde doelen te infiltreren, gebruikt Lazarus een verfijnd spear-phishing-schema. De hackers verzamelen sociale media-informatie over een geselecteerde medewerker en sturen vervolgens een aangepast e-mailbericht dat zo is ontworpen dat het lijkt alsof het is verzonden door de organisatie van de medewerker. De e-mail bevat een Word-document met malware of een link naar een externe server die onder controle staat van de hackers. Door het document te openen of op de link te klikken, wordt het eerste deel van een meerfasige aanvalsketen gestart.
Tijdens deze stap van de aanval voert Lazarus voornamelijk een eerste verkenning uit en vervolgens wordt bepaald of de aanval zou worden geëscaleerd door extra malware op het gecompromitteerde systeem te plaatsen en lateraal door het interne netwerk te verplaatsen. ThreatNeedle stelt de hackers in staat om volledige controle over het systeem te krijgen, willekeurige opdrachten uit te voeren, de bestands- en directorysystemen te manipuleren, gegevens te verzamelen en te exfiltreren, de achterdeurprocessen te besturen en het geïnfecteerde apparaat te dwingen om in de slaapstand te gaan of in de slaapstand te gaan.
Het meest bedreigende aspect van deze laatste operatie van Lazarus is het vermogen van de hackers om netwerksegmentatie te overwinnen. Dit betekent dat zelfs als de beoogde organisatie zijn interne netwerk heeft opgesplitst in een deel dat is verbonden met het openbare internet en een gedeelte dat is geïsoleerd. De inbreuk wordt uitgevoerd door de controle over een intern routerapparaat over te nemen en het te configureren als een proxyserver. De aanvallers kunnen vervolgens verzamelde gegevens van het intranetnetwerk naar hun externe server exfiltreren.
