Lazarus startet Angriffe auf die Medizin- und Energiebranche

Eine Cyberattacke der Lazarus-Gruppe zielt auf die medizinische Forschung und die Energiebranche sowie deren Partner in der Lieferkette ab. Laut WithSecure-Recherchen werden dabei bekannte Schwachstellen in ungepatchten Zimbra-Geräten ausgenutzt.

Der Angriff mit der Bezeichnung "No Pineapple" hinterlässt eine Fehlermeldung in einer Hintertür, die mit dem Namen "in the event data exceeds segmented byte size" versehen ist. Der Bericht legt nahe, dass das Ziel darin besteht, Informationen von den Opferorganisationen zu sammeln. Die Gruppe nutzt bekannte Schwachstellen in diesen Geräten aus, um das Netzwerk zu kompromittieren und die Privilegien zu erweitern, was zur Datenexfiltration führt.

Zu den Opfern gehören ein Hersteller von Technologien, die in den Bereichen Energie, Forschung, Verteidigung und Gesundheitswesen eingesetzt werden, eine chemisch-technische Abteilung einer führenden Forschungsuniversität und andere aus verschiedenen anderen Branchen.

Der Angriff ist auf eine kritische Remotecode-Schwachstelle zurückzuführen, die als CVE-2022-41352 aufgeführt ist, mit dem Schweregrad 9.8 eingestuft ist und ab Mitte September 2022 aktiv ausgenutzt wurde. Zimbra hat einen empfohlenen Workaround veröffentlicht, um das pax-Dienstprogramm zu installieren und die Zimbra-Dienste neu zu starten, aber der WithSecure-Bericht zeigt, dass die Schwachstelle tatsächlich von der Lazarus-Gruppe ausgenutzt wurde.

Die Schwachstelle tritt auf, weil die Geräte eine Antivirus-Engine verwenden, die ein cpio-Dienstprogramm zum Scannen eingehender E-Mails einsetzt, und der Angreifer in der Lage ist, ein Archiv zu erstellen, um auf alle Dateien innerhalb der Zimbra-Geräte zuzugreifen. Die Lazarus Group nutzt neben legitimen Windows- und Unix-Tools auch leicht verfügbare Webshells und benutzerdefinierte Binärdateien, um den Angriff auszuführen.

Der Angriff erfolgte im August auf einen Zimbra-Mailserver, bei dem die Angreifer eine lokale Schwachstelle zur Ausweitung der Rechte ausnutzten. Nach einem Monat der Erkundung und seitlichen Bewegung exfiltrierten die Angreifer etwa 100 GB an Daten. Der Bericht enthält eine Liste der Taktiken und Methoden, die während der beobachteten Kampagne eingesetzt wurden, um die Identifizierung und Behebung zu unterstützen.

Zu den Quellen für diesen Beitrag gehört ein Artikel im SCMagazine.

Zusammenfassung

Artikel Name

Lazarus startet Angriffe auf die Medizin- und Energiebranche

Beschreibung

Ein Cyberangriff der Lazarus-Gruppe zielt auf die medizinische Forschung und die Energiebranche sowie deren Partner in der Lieferkette.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers