במהלך כנס ESET World השנתי, חוקרי חברת אבטחת המידע ESET הציגו ממצאים חדשים הנוגעים לקבוצת Lazarus הידועה לשמצה. מנהל חקר האיומים ב-ESET, ז'אן-יאן בוטין, בחן כמה קמפיינים חדשים שהוצאו לפועל ע"י קבוצת Lazarus נגד מטרות אבטחה מכל העולם, החל מסוף 2021 ועד מרץ 2022.

על פי נתוני הטלמטריה של ESET הנוגעים למתקפות מהתקופה הזו, קבוצת Lazarus כיוונה את מתקפותיה לחברות באירופה (צרפת, איטליה, ספרד, גרמניה, צ'כיה, הולנד, פולין ואוקראינה) ובדרום אמריקה (ברזיל).
 

עוד ב-

וואטסאפ מתחילה להפוך להרבה יותר צבעונית

לכתבה המלאה

אף על פי שמטרתה העיקרית של הפעולה היה ריגול סייבר, הקבוצה פעלה גם כדי לסחוט כספים (אך ללא הצלחה). "קבוצת האיום Lazarus פעלה באופן חדשני באמצעות שימוש בסט כלים מעניין, הכולל רכיב הפונה למשתמש הקצה ומסוגל לנצל פרצה בדרייבר של חברת DELL כדי לכתוב לזיכרון ה-Kernel. הטריק המתקדם הזה שימש לעקוף את הניטור של פתרונות אבטחה", ציין ז'אן-יאן בוטין.

כבר ב-2020, חוקרי ESET חשפו קמפיין שהופעל על ידי קבוצת-בת של Lazarus וכוון נגד מטרות בתחום התעופה וההגנה, שחוקרי ESET כינו בשם In(ter)ception. הקמפיין ראוי לציון מכיוון שהשתמש ברשתות חברתיות, בייחוד בלינקדאין, כדי לבנות אמון בין התוקף ובין עובד תמים לפני שליחת רכיבים זדוניים תוך התחזות לתיאורי משרות או הצעות עבודה. בתקופה הזו, חברות בברזיל, צ'כיה, קטאר, טורקיה ואוקראינה כבר הותקפו.

חוקרי ESET מאמינים שהפעולה כוונה בעיקר נגד חברות אירופאיות, אך באמצעות מעקב אחרי מספר קבוצות-בת של Lazarus שמבצעות פעולות דומות כנגד קבלנים בתחום ההגנה, החוקרים הבינו במהרה שהקמפיין התרחב לטווח הרבה יותר גדול. הנוזקות בהן הקבוצה השתמשה בכל קמפיין וקמפיין היו שונות, אך אופן הפעולה היה דומה: מגייס מתחזה יצר קשר עם עובד דרך לינקדאין, ושלח רכיבים זדוניים בשלב מסוים.

הקבוצה ממשיכה להשתמש באותו אופן הפעולה בו השתמשה בעבר. עם זאת, במקרה הזה חוקרי ESET חשפו שימוש חוזר בקמפייני גיוס לגיטימיים כדי לייצר לגיטימציה מסוימת לקמפייני הגיוס של המגייסים המתחזים. בנוסף, התוקפים השתמשו בשירותים כמו וואטסאפ וסלאק בקמפיינים הזדוניים שלהם.