Kaspersky's Global Research and Analysis Team (GReAT) heeft een geraffineerde kwaadaardige campagne van de beruchte Lazarus-groep ontdekt die zich richt op cryptobeleggers wereldwijd. Tijdens de Security Analyst Summit (SAS) op Bali presenteerde GReAT de bevindingen. De aanvallers gebruikten een valse cryptogame-website die gebruikmaakte van een zero-day kwetsbaarheid in Google Chrome om spyware te installeren en wallet-gegevens te stelen.
In mei 2024 ontdekten Kaspersky-experts tijdens het analyseren van incidenten in de telemetrie van het Kaspersky Security Network een aanval met Manuscrypt-malware. Deze malware wordt sinds 2013 gebruikt door de Lazarus Advanced Persistent Threat (APT) groep en is door Kaspersky GReAT gedocumenteerd in meer dan 50 unieke campagnes gericht op verschillende sectoren. Verdere analyse toonde een geraffineerde kwaadaardige campagne die zwaar leunde op social engineering-technieken en generatieve AI om cryptobeleggers te targeten.
De Lazarus-groep staat bekend om zijn zeer geavanceerde aanvallen op cryptocurrency-platforms en gebruik van zero-day exploits. Deze nieuw ontdekte campagne volgde hetzelfde patroon. Onderzoekers van Kaspersky ontdekten dat de kwaadwillende twee kwetsbaarheden misbruikte, waaronder een voorheen onbekend type verwarring bug in V8, Google's open-source JavaScript en WebAssembly engine. Deze zero-day kwetsbaarheid werd verholpen als CVE-2024-4947 nadat Kaspersky het meldde aan Google. Hierdoor konden aanvallers willekeurige code uitvoeren, beveiligingsfuncties omzeilen en verschillende kwaadaardige activiteiten uitvoeren. Een andere kwetsbaarheid werd gebruikt om de V8 sandbox-beveiliging van Google Chrome te omzeilen.
De aanvallers misbruikten deze kwetsbaarheid door een nauwkeurig ontworpen nep-gamewebsite en nodigden hiermee gebruikers uit om wereldwijd de strijd aan te gaan met NFT-tanks. Ze streefden ernaar een gevoel van vertrouwen op te bouwen en het maximale uit de campagne te halen. Ze schuwden niet om daarbij zorgvuldig ontworpen promotie-activiteiten in te zetten die zo echt mogelijk leken. Dit omvatte het aanmaken van sociale media-accounts op X (voorheen bekend als Twitter) en LinkedIn om de game voor een aantal maanden te promoten. Daarbij werden AI gegenereerde afbeeldingen gebruikt om de geloofwaardigheid te vergroten. Lazarus heeft met succes generatieve AI geïntegreerd in hun activiteiten. Kaspersky-experts voorspellen dat aanvallers met behulp van deze technologie nog geavanceerdere aanvallen zullen ontwikkelen.
Voor meer promotie probeerden de aanvallers ook cryptocurrency-influencers in te schakelen. Door hun aanwezigheid op sociale media te benutten, verspreidden ze niet alleen de dreiging, maar vielen daarmee ook direct hun crypto-accounts aan.
Een valse cryptogame-website die gebruikmaakte van een zero-day kwetsbaarheid om spyware te installeren
"Hoewel we al eerder APT-actoren hebben gezien die financieel gewin nastreefden, was deze campagne uniek. De aanvallers overtroffen de gebruikelijke tactieken door een volledig functioneel spel als dekmantel te gebruiken. Hiermee maakten ze misbruik van een zero-day kwetsbaarheid in Google Chrome die zo gericht systemen kon infecteren. Bij beruchte hackers als Lazarus kunnen zelfs acties die op het eerste gezicht onschuldig lijken, zoals het klikken op een link op een sociaal netwerk of een e-mail, leiden tot de volledige infectie van een pc of een volledig bedrijfsnetwerk. De enorme inspanningen die de aanvallers in deze campagne staken, duiden op ambitieuze plannen. De werkelijke impact zou vele malen groter kunnen zijn en mogelijk gebruikers en bedrijven wereldwijd treffen,” aldus Boris Larin, Principal Security Expert van Kaspersky's GReAT.
Kaspersky-experts ontdekten een legitiem spel dat een prototype leek te zijn voor de versie van de aanvallers. Kort nadat de aanvallers de campagne voor de promotie van hun spel lanceerden, beweerden de ontwikkelaars van het echte spel dat er US$20.000 aan cryptocurrency uit hun portemonnee was overgemaakt. Het logo en ontwerp van het nepspel leken sterk op het origineel en verschilden alleen in de plaatsing van het logo en de visuele kwaliteit. Gezien deze overeenkomsten en overlappingen in de code, benadrukken Kaspersky-experts dat de leden van Lazarus veel moeite hebben gedaan om hun aanval geloofwaardig te maken. Ze maakten een nepgame met gestolen broncode en vervingen logo's en alle verwijzingen naar de legitieme game om de illusie van authenticiteit in hun bijna identieke versie te versterken.
Details van de kwaadaardige campagne werden gepresenteerd op de Security Analyst Summit in Bali en nu is het volledige rapport beschikbaar op Securelist.com.
Over Global Research & Analysis
Het Global Research & Analysis Team (GReAT) is opgericht in 2008 en is opereert vanuit het hart van Kaspersky. Het brengt APT's, cyberspionagecampagnes, belangrijke malware, ransomware en ondergrondse cybercriminele trends over de hele wereld aan het licht. Tegenwoordig bestaat GReAT uit meer dan 40 experts die wereldwijd werken - in Europa, Rusland, Latijns-Amerika, Azië en het Midden-Oosten. Getalenteerde securityprofessionals geven leiding aan het bedrijf op het gebied van anti-malwareonderzoek en innovatie en brengen ongeëvenaarde expertise, passie en nieuwsgierigheid in bij het ontdekken en analyseren van cyberthreats.
