- Idag släpps biljetterna till Örebro Poddfest på Kulturkvarteret
- Här är Örebro universitets nya alumner till Wall of Inspiration
- Fler laddstolpar i Kopparberg
- Nödvändig höjning av taxor för idrottshallar och idrottsanläggningar i Kumla
- Det går lika bra med selleri
- Bästa Tillväxt 2024 Degerfors
- Så här jobbar Kumla kommun med snöröjning
- Guldpennan 2024
- Överenskommelse om hur hälso- och sjukvården i hemmet ska samordnas
- Så mycket billigare är hemförsäkringen i Örebro än i Lekeberg
Nordkoreanska angripare avslöjade sig själva
Nordkoreanska angripare avslöjade sig själva genom bristande säkerhet i den egna cyberattacken, IT-säkerhetsforskare på WithSecure™ kopplar en informationsinsamlingskampanj riktad mot medicinsk forskning och energiorganisationer till Nordkoreas Lazarus Group.
Delvis tack vare en angripares operativa säkerhetsmisstag har IT-säkerhetsforskare från WithSecure™ (tidigare känt som F-Secure Business) nu lyckats härleda en kampanj av cyberattacker till Nordkoreas ökända Lazarus Group.
Lazarus Group är en så kallad APT (Advanced Persistant Threat)-hotaktör som allmänt anses vara en del av Nordkoreas Foreign Intelligence and Reconnaissance Bureau. Forskare fick korn på gruppens senaste kampanj efter att en misstänkt ransomware-attack upptäcktes hos en organisation som skyddas av säkerhetsplattformen WithSecure™ Elements.
Vid närmare undersökningar av attacken fann WithSecure™-forskare flera bevis som tydde på att attacken var en del av en större informationsinsamlingskampanj, snarare än en enskild ransomware-incident.
Baserat på de insamlade bevisen kunde forskarna koppla kampanjen till Lazarus Group, som i detta fall riktade sig mot medicinsk forskning och energiorganisationer i avsikt att spionera.
Specifika attackmål som identifierades av forskarna inkluderade en forskningsorganisation inom vården, en tillverkare av teknologi som används inom energi-, forskning-, försvars- och vårdssektorn, samt en avdelning för kemiteknik vid ett ledande universitet.
– Även om detta från början misstänktes vara ett försök till en BianLian-ransomwareattack, så pekade bevisen oss snabbt i en ny riktning. I takt med att vi samlade in mer och mer bevismaterial stärktes vår övertygelse om att attacken utfördes av en grupp med anknytning till den nordkoreanska regeringen, varpå vi så småningom säkert kunde dra slutsatsen att det var Lazarus Group som låg bakom, säger Sami Ruohonen, Senior Threat Intelligence Analyst på WithSecure™
– Under vår utredning fann vi att detta var en del av en större kampanj med ett utökat antal mål, inte bara en isolerad incident. Det är extremt ovanligt att så pass klart och tydligt kunna koppla en kampanj till en gärningsman som vi har kunnat göra här, tillägger Stephen Robinson, Senior Threat Intelligence Analyst på WithSecure™.
WithSecure™-forskare kunde härleda kampanjen till Lazarus Group baserat på dess användning av taktik, teknik och procedurer i tidigare attacker av gruppen och andra angripare med Nordkorea-koppling.
Forskarna fann flera anmärkningsvärda utvecklingar i denna kampanj jämfört med tidigare Lazarus Group-aktiviteter, såsom:
- Användning av en ny infrastruktur, som bl a endast förlitar sig på IP-adresser utan domännamn (vilket är ett avsteg från tidigare attacker).
- En modifierad version av den skadliga programvaran Dtrack, vilken används för att stjäla information och som har använts av Lazarus Group och Kimsuky (en annan grupp med Nordkorea-koppling) i tidigare attacker.
- En ny version av den skadliga programvaran GREASE, som tillåter angripare att skapa nya administratörskonton med fjärrstyrningsbehörigheter som kringgår brandväggar.
Ett uppseendeväckande bevis som forskarna fann var att angriparna under kort tid använde en av mindre än tusen IP-adresser som tillhör Nordkorea. Denna IP-adress observerades under en kort tid vara ansluten till ett webbskal som kontrollerades av angriparna, vilket fick forskarna att misstänka att misstaget var manuellt och hade gjorts av gruppmedlem.
Men misstag som detta bör dock inte feltolkas av försvarare som ett skäl att sänka garden, enligt Tim West, Head of Threat Intelligence på WithSecure™.
– Trots misslyckandet visade angriparen upp ett skickligt hantverk och lyckades ändå utföra genomtänkta attacker mot noggrant utvalda slutpunkter. Även med rätt tekniker för slutpunktsdetektering måste organisationer ständigt överväga hur de reagerar på varningar. De bör även integrera fokuserad hotintelligens med regelbunden jakt efter hotaktörer för att få ett mer djupgående skydd, särskilt mot skickliga och erfarna motståndare, säger West.
Sverige/Världen
Örebronyheter
Källa WithSecure
Related Posts
Latest News
-
Idag släpps biljetterna till Örebro Poddfest på Kulturkvarteret
Välkommen på premiären för Örebro Poddfest lördag 5 april 2025....
- Posted december 13, 2024
- 0
-
Här är Örebro universitets nya alumner till Wall of Inspiration
Jens Ericsson, Joanna Hedqvist, Kalle Norwald, Johanna Gillberg och Henrik...
- Posted december 13, 2024
- 0
-
Informationsträff på Kvarngården Kris- och beredskapsplanering
Kumla kommun hälsar välkommen på informationsträff den 16 december på...
- Posted december 13, 2024
- 0
-
Fler laddstolpar i Kopparberg
Ljusnarsbergs kommun satsar på hållbarhet och stärker sin attraktionskraft med...
- Posted december 13, 2024
- 0
-
Bilist körde in i träd i Kumla
På Kvarntorpsvägen i Kumla i höjd med Lugnet har en...
- Posted december 13, 2024
- 0
-
Två bilister i olycka i Örebro
En trafikolycka har inträffat på E18 i Örebro, olyckan har...
- Posted december 13, 2024
- 0
-
Nödvändig höjning av taxor för idrottshallar och idrottsanläggningar i Kumla
Inför år 2025 sker en höjning, av Kumla kommuns taxor...
- Posted december 13, 2024
- 0
You must be logged in to post a comment Login