En nordkoreansk hacknings- och cyberspionageoperation bröt nätverket för ett ingenjörsföretag kopplat till militär- och energiorganisationer genom att utnyttja en sårbarhet för cybersäkerhet i Log4j.
Sårbarheten (CVE-2021-44228) som först beskrevs i december, tillåter angripare att fjärrexekvera kod och få tillgång till system som använder Log4j, ett flitigt använt Java-loggningsbibliotek.
Den allestädes närvarande karaktären av Log4j innebar att cybersäkerhetsbyråer uppmanade organisationer globalt att tillämpa säkerhetsuppdateringar så snabbt som möjligt, men månader efter avslöjandet är många fortfarande sårbara för bristen.
Enligt cybersäkerhetsforskare på Symantec var ett av de företag som fortfarande var sårbara en hemlig ingenjörsfirma som arbetar inom energi- och militärsektorerna. Den sårbarheten resulterade i att företaget bröts när angripare utnyttjade luckan på en VMware View-server som riktar sig till allmänheten i februari i år. Därifrån kunde angripare flytta runt i nätverket och kompromissa med minst 18 datorer.
SER: Google: Flera hackningsgrupper använder kriget i Ukraina som ett lockbete i nätfiskeförsök
Analyser av Symantec-forskare tyder på att kampanjen är av en grupp som de kallar Stonefly, även känd som DarkSeoul, BlackMine, Operation Troy och Silent Chollima, som är en spionagegrupp som arbetar från Nordkorea.
Andra cybersäkerhetsforskare har föreslagit att Stonefly har kopplingar till Lazarus Group, Nordkoreas mest ökända hackerverksamhet.
Men medan Lazarus Groups verksamhet ofta fokuserar på att stjäla pengar och kryptovaluta, är Stonefly en specialistspionageoperation som forskare säger engagerar sig i mycket selektiva attacker “mot mål som kan ge intelligens för att hjälpa strategiskt viktiga sektorer” – inklusive energi, flyg och militär.
“Gruppens förmåga och dess snäva fokus på att skaffa känslig information gör den till en av de mest potenta nordkoreanska cyberhotsaktörerna som är verksamma idag”, varnar forskare vid Symantec.
Stonefly har funnits i viss kapacitet sedan 2009, men de senaste åren har det fördubblats när det gäller att rikta in sig på mycket känslig information och immateriella rättigheter. Detta uppnås genom att distribuera lösenordsstjälare och trojanska skadliga program på komprometterade nätverk. När det gäller den hemliga ingenjörsfirman hade den första skadliga programvaran släppts till nätverket inom några timmar efter den första kompromissen.
Bland verktygen som användes i den här incidenten var en uppdaterad version av Stoneflys anpassade Preft bakdörr skadlig kod. Nyttolasten levereras i etapper. När det är helt kört blir det ett HTTP-verktyg för fjärråtkomst (RAT) som kan ladda ner och ladda upp filer och information, tillsammans med möjligheten att ladda ner ytterligare nyttolaster, samt avinstallera sig själv när skadlig programvara inte längre behövs.
Vid sidan av Preft-bakdörren, distribuerade Stonefly också en specialutvecklad informationsstöldare som angriparna planerade att använda ett alternativt exfiltreringsmedel.
SER: Det är dessa problem som orsakar huvudvärk för prisjägare
Stonefly har varit aktiv i över ett decennium och det är osannolikt att deras attacker kommer att sluta snart, särskilt som gruppen har en historia av att utveckla nya taktiker och tekniker. Även om Stonefly klassificeras som en kraftfull statsstödd hackargrupp, behövde de i det här fallet inga avancerade tekniker för att bryta ett nätverk, de utnyttjade helt enkelt en oparpad kritisk säkerhetssårbarhet.
För att säkerställa att kända sårbarheter som Log4j inte kan utnyttjas av statsstödda hackningsgrupper eller cyberbrottslingar, bör organisationer se till att säkerhetsuppdateringar för applikationer och mjukvara rullas ut så snart som möjligt. I fallet med företaget ovan skulle denna process ha inneburit att de tillgängliga patcharna för VMware-servrar, som var tillgängliga innan attacken inträffade.
Andra cybersäkerhetsprotokoll, som att ge användare multifaktorautentisering, kan också hjälpa till att förhindra attacker som utnyttjar stulna lösenord för att flytta runt i nätverk.
