De door de Noord-Koreaanse staat gesteunde hackploeg, ook wel bekend als de Lazarus Group, is toegeschreven aan weer een andere financieel gemotiveerde campagne die gebruikmaakt van een trojanized decentralized finance (DeFi) portemonnee-app om een volledig uitgeruste achterdeur naar gecompromitteerde Windows-systemen te verspreiden.
De app, die is uitgerust met functionaliteiten om een cryptocurrency-portemonnee op te slaan en te beheren, is ook ontworpen om de lancering van het implantaat te activeren dat de controle over de geïnfecteerde host kan overnemen. Russisch cyberbeveiligingsbedrijf Kaspersky zei het kwam medio december 2021 voor het eerst in aanraking met de malafide applicatie.
Het infectieschema dat door de app wordt geïnitieerd, resulteert ook in de inzet van het installatieprogramma voor een legitieme applicatie, die wordt overschreven met een getrojaanse versie in een poging om zijn sporen uit te wissen. Dat gezegd hebbende, is de initiële toegangsweg onduidelijk, hoewel vermoed wordt dat het een geval van social engineering is.
De voortgebrachte malware, die zich voordoet als de Chrome-webbrowser van Google, lanceert vervolgens een portemonnee-app die is gebouwd voor de DeFiChainterwijl ook verbindingen tot stand worden gebracht met een extern door een aanvaller beheerd domein en wachten op verdere instructies van de server.
Op basis van het antwoord dat is ontvangen van de command-and-control (C2)-server, voert de trojan een breed scala aan opdrachten uit, waardoor het systeeminformatie kan verzamelen, processen kan opsommen en beëindigen, bestanden kan verwijderen, nieuwe processen kan starten en sla willekeurige bestanden op de machine op.
De C2-infrastructuur die in deze campagne werd gebruikt, bestond uitsluitend uit eerder gecompromitteerde webservers in Zuid-Korea, wat het cyberbeveiligingsbedrijf ertoe bracht samen te werken met het computer emergency response team (KrCERT) van het land om de servers te ontmantelen.
De bevindingen komen meer dan twee maanden nadat Kaspersky details onthulde van een vergelijkbare “SnatchCrypto” -campagne opgezet door de Lazarus-subgroep, gevolgd als BlueNoroff om digitale fondsen uit de MetaMask-portefeuilles van slachtoffers te halen.
“Voor de Lazarus-dreigingsactor is financieel gewin een van de belangrijkste motivaties, met een bijzondere nadruk op de cryptocurrency-business. Naarmate de prijs van cryptocurrency stijgt en de populariteit van non-fungible token (NFT) en gedecentraliseerde financiële (DeFi) bedrijven blijft aanzwellen, blijft de focus van de Lazarus-groep op de financiële sector evolueren”, aldus Kaspersky-onderzoekers in een nieuw rapport.
