Software de segurança hackeado usado em novo ataque à cadeia de suprimentos sul-coreano

Views: 375
0 0
Read Time:4 Minute, 1 Second

Acredita-se que o Lazarus Group esteja por trás de uma onda de ataques que aproveitam certificados digitais roubados ligados ao software do navegador que garante a comunicação com o governo e sites financeiros na Coreia do Sul.

Lazarus Group attack sequence

O grupo cibercriminoso Lazarus está usando um novo ataque da cadeia de suprimentos contra visitantes a sites operados pelo governo sul-coreano e empresas financeiras, a fim de fornecer malware conta-gotas que eventualmente planta um trojan de acesso remoto nos PCs da vítima.

Os ataques usam certificados digitais roubados de duas empresas de segurança, que permitem aos operadores do Lazarus corromper um plug-in do navegador projetado para proteger os usuários de serem hackeados.

“Os atacantes estão constantemente tentando encontrar novas maneiras de fornecer malware para computadores-alvo. Os atacantes estão particularmente interessados em ataques na cadeia de suprimentos, porque permitem que eles implantem secretamente malware em muitos computadores ao mesmo tempo”, escreveram os pesquisadores da ESET em um resumo técnico delineando a descoberta na segunda-feira.

Neste ataque, o Lazarus Group, conhecido por seu hack sony pictures entertainmentde 2014, explora software de segurança feito pela Wizvera. O software, chamado Wizvera VeraPort, é usado por sites do governo sul-coreano e exige que os visitantes usem um plug-in do navegador VeraPort para verificação de identidade.

“Para entender este novo ataque à cadeia de suprimentos, você deve estar ciente de que os usuários de internet sul-coreanos são frequentemente solicitados a instalar softwares de segurança adicionais ao visitar sites governamentais ou de internet banking”, escreveu a ESET.

O Ataque da Cadeia de Suprimentos

A primeira etapa do ataque é para os operadores Lazarus corromperem um site que executa o software Wizvera. Os pesquisadores acreditam que isso provavelmente é feito através de ataques de phishing de lança experimentados e verdadeiros, que enganam os administradores de sites a baixar arquivos maliciosos ou vinculá-los a um site com armadilhas hospedando um kit de exploração.

Uma vez que os invasores alcancem uma posição em um servidor direcionado, binários maliciosos que parecem ser legítimos e usam os certificados digitais roubados são plantados em um site comprometido e empurrados automaticamente para visitantes de sites desavisados.

“Os atacantes camuflavam as amostras de malware do Lazarus como software legítimo”, escreveram os pesquisadores. “Essas amostras têm nomes de arquivos, ícones e recursos VERSIONINFO semelhantes como software sul-coreano legítimo frequentemente entregue via Wizvera VeraPort. Binários que são baixados e executados através do mecanismo Wizvera VeraPort são armazenados em %Temp%\[12_RANDOM_DIGITS]\.”

Quando uma vítima visita um site impactado, o plug-in Wizvera do navegador é solicitado a baixar JavaScript e um arquivo de configuração WIZVERA. Esse download é um arquivo XML codificado com base64 contendo o endereço do site, uma lista de software para instalar, URLs para downloads e outros parâmetros, escreveu o ESET.

“Esses arquivos de configuração são assinados digitalmente pelo Wizvera”, disseram os pesquisadores. “Uma vez baixados, eles são verificados usando um algoritmo criptográfico forte (RSA), e é por isso que os atacantes não podem modificar facilmente o conteúdo desses arquivos de configuração ou configurar seu próprio site falso. No entanto, os invasores podem substituir o software a ser entregue aos usuários do Wizver VeraPort a partir de um site legítimo, mas comprometido. Acreditamos que este é o cenário que os atacantes Lázaro usaram.”

Dropper Dropped: E agora?

De acordo com a ESET, os dois certificados de assinatura de código obtidos ilegalmente são das empresas de segurança Alexis Security Group e Dream Security USA, sendo este último a filial dos EUA de Wizvera.

Os pesquisadores também observam que a configuração do Wizvera VeraPort tem duas opções. Uma opção é não apenas verificar assinaturas digitais, mas também verificar o hash de binários baixados. Se configurado para verificar e verificar o hash do download, o “ataque não pode ser realizado tão facilmente, mesmo que o site com Wizvera VeraPort esteja comprometido”.

Quando configurados para verificar apenas os certs digitais, os binários conta-gotas maliciosos são camuflados através de ofuscação polimórfica no código. Em outras palavras, dois arquivos (o Carregador, Btserv.dll e o Downloader, bcyp655.tlb) passam despercebidos e se compilam no sistema do alvo para entregar a próxima etapa do ataque.

A próxima etapa oferece o trojan de acesso remoto Lazarus. Os comandos incluem operações no sistema de arquivos da vítima e download de ferramentas adicionais do arsenal do agressor, escreveram os pesquisadores.

“Desta vez, analisamos como o Grupo Lazarus usou uma abordagem muito interessante para atingir os usuários sul-coreanos do software Wizvera VeraPort. Como mencionado em nossa análise, é a combinação de sites comprometidos com suporte wizvera VeraPort e opções específicas de configuração VeraPort que permitem aos atacantes realizar esse ataque”, escreveram os pesquisadores da ESET.

A mitigação contra os ataques inclui habilitar as opções Wizvera que especificam hashes de binários na configuração VeraPort.

FONTE: THREATPOST

POSTS RELACIONADOS