Lazarus-aanvallen: eenvoudige tools, gevanceerde social engineering

In dit artikel:

Lazarus, de beruchte Noord-Koreaanse cybergroep achter onder meer de Sony-aanval (2014) en de bankroof op Bangladesh (2016), blijkt een gespecialiseerde subgroep te hebben die zich richt op financiële organisaties en cryptobedrijven. Fox-IT onderzocht meerdere incidenten uit 2024 en publiceerde een technische rapportage over de werkwijze van deze actor. Belangrijkste bevindingen:

- Wie en waar: een Lazarus-subgroep opereert gericht tegen instellingen in de financiële sector en de cryptovalutawereld, inclusief een incident bij een DeFi-organisatie.
- Hoe (aanvalsmethoden): de aanvallers gebruiken vooral social engineering als ingang, vaak via Telegram waarbij ze zich voordoen als medewerkers van legitieme handels- of investeringsfirma’s. Hiervoor zetten ze valse Calendly- en Picktime-sites en nagemaakte bedrijfswebsites in om slachtoffers te lokken.
- Mogelijke zero-day: forensisch bewijs wijst op het gebruik van een Chrome zero-day in ten minste één zaak; rond het moment van compromittering traden afwijkende logboekpatronen en een plotselinge terugval in endpoint-logging op, waarna directe verbindingen met command-and-control-domeinen verschenen.
- Malware en tools: in de onderzochte gevallen gebruikte de groep meerdere Remote Access Trojans (RATs): PONDRAT (relatief eenvoudig, vaak als eerste payload), ThemeForestRAT (meer functionaliteit, blijft vooral in geheugen draaien en is moeilijk te detecteren) en RemotePE (een geavanceerdere RAT). Er is bewijs dat eerst oudere RAT-restanten werden opgeruimd voordat RemotePE werd ingezet — mogelijk een volgende, meer verborgen fase van de operatie.
- Functies en persistentie: de aanvallers combineerden RATs met aangepaste payloads voor screenshots, keylogging en browserdatadumping. Voor blijvende aanwezigheid pasten ze technieken toe zoals phantom DLL-loading en een custom loader genaamd PerfLoader.
- Tactische profiel: de groep werkt methodisch, upgradeert en vervangt tools na verloop van tijd, en legt sterke nadruk op detectieomzeiling om langdurig onopgemerkt materiaal te verzamelen — in tegenstelling tot snelle ransomware-aanvallen is hun doel uitgebreide spionage en uiteindelijk succesvolle diefstal.
- Historische relevantie en impact: de social-engineering-aanpak vertoont parallellen met de Bangladesh-operatie van 2016 (waar toen een alerte bankmedewerker verdere schade voorkwam). Fox-IT benadrukt dat zelfs relatief eenvoudige malware effectief is wanneer deze door een gesofisticeerde, vasthoudende actor wordt ingezet.

Praktische implicaties: organisaties in de financiële en crypto-sector moeten waakzaam zijn voor valse communicatiekanalen, strengere monitoring van endpoint-logs en netwerken hanteren, personeel trainen tegen spear-phishing en rekening houden met in-memory malware en stealthy loaders. Fox-ITs volledige technische analyse biedt gedetailleerdere indicators of compromise voor opsporing en mitigatie.