0
0
O grupo norte-coreano Lazarus enviou falsas ofertas de emprego para alvos no setor químico e empresas de tecnologia da informação, que — quando abertas — instalam programas de cavalos de Tróia para coletar informações e enviá-la de volta aos atacantes, afirmou o braço de segurança da Broadcom, symantec, em um comunicado em 14 de abril.
O ataque faz parte de uma campanha de longa duração — apelidada de Operação Dream Job — que envia alvos em indústrias específicas de arquivos maliciosos da Web disfarçados de ofertas de emprego, que quando abertas tentam comprometer o sistema. Enquanto o conjunto atual de ataques se concentra em empresas químicas sul-coreanas e seus provedores de serviços de TI, outros alvos incluíram indústrias e agências governamentais na Europa, Ásia e Estados Unidos. Esta campanha marca uma mudança, já que Lázaro no passado tinha como alvo os setores de defesa, governo e engenharia.
Os ataques têm, em vários momentos, direcionados a empreiteiros de defesa, empresas de engenharia, agências governamentais e até empresas farmacêuticas durante o auge da pandemia, diz Dick O’Brien, principal analista de inteligência da equipe de caça a ameaças da Symantec.
“Os atacantes ligados à Coreia do Norte têm uma longa história de direcionamento de propriedade intelectual, presumivelmente para ajudar projetos de engenharia ou tecnologia estrategicamente importantes”, diz ele, acrescentando: “Em todos os ataques, vimos uma série de ferramentas de exfiltração de dados [e] de dados implantados em computadores infectados. Estamos assumindo que eles pegam o que precisam antes de seguir em frente.”
Outras empresas de segurança e tecnologia também documentaram o envolvimento de Lazarus na Operação Dream Job, que alguns pesquisadores acompanham como Operação AppleJeus. No início de 2021, o grupo Lazarus teve como alvo pesquisadores de segurança com ofertas semelhantes de empregos de alto nível no setor. E, no início deste ano, os atacantes atingiram mais de 250 indivíduos que trabalham para mídia de notícias, fornecedores de software e provedores de infraestrutura de Internet, usando ofertas de emprego que pareciam vir da Disney, Google e Oracle, de acordo com o Google, que rastreou a campanha.
Uma campanha relacionada teve como alvo empresas de criptomoedas e tecnologia financeira e serviços, adam Weidemann, pesquisador do Grupo de Análise de Ameaças do Google, afirmou em um post no blog no final de março.
“Suspeitamos que esses grupos trabalhem para a mesma entidade com uma cadeia de suprimentos compartilhada, daí o uso do mesmo kit de exploração, mas cada um opera com um conjunto de missão diferente e implanta técnicas diferentes”, escreveu. “É possível que outros atacantes apoiados pelo governo norte-coreano tenham acesso ao mesmo kit de exploração.”
Campanha de longa duração
A assessoria de 14 de abril da Symantec observou que a campanha começou pelo menos já em agosto de 2020, embora com um conjunto diferente de metas. Enquanto a campanha atual tem como alvo o setor químico, as campanhas descobertas em 2020 tinham como foco agências governamentais e empreiteiras de defesa, afirmou a empresa em sua assessoria.
“A Operação Trabalho dos Sonhos envolve lazarus usando ofertas de emprego falsas como um meio de atrair as vítimas para clicar em links maliciosos ou abrir anexos maliciosos que eventualmente levam à instalação de malware usado para espionagem”, disse a empresa.
A equipe de ameaças da Symantec esboçou os passos de um ataque bem-sucedido em janeiro de 2022, que completou menos de quatro dias após o alvo receber o arquivo até a execução final de um programa que coletava e exfiltrava dados do sistema. Depois que o usuário-alvo abriu a falsa oferta de emprego, o ataque explorou uma vulnerabilidade em um dos dois pacotes de software, o INISAFE Web EX Client para gerenciamento de sistemas ou MagicLine, um programa de gerenciamento de academias, diz O’Brien, da Symantec.
“Eles não são nomes domésticos para nós, mas nossa suposição de trabalho é que eles são amplamente usados na indústria ou setor que estão mirando atualmente”, diz ele. “Uma hipótese alternativa é que eles mesmos instalaram o software para injetar nele, mas não vimos nenhuma evidência disso.”
Embora as empresas que não executam nenhum dos aplicativos possam não ter que se preocupar com esse ataque em particular, grupos de espionagem cibernética como lazarus são muito bons em adaptar ataques para corresponder ao ambiente de seu alvo, diz ele.
Por essa razão, nenhuma solução única ajudará a prevenir ataques de espionagem cibernética, enfatizou O’Brien. Em vez disso, as empresas devem adotar uma abordagem em camadas para a defesa, usando tecnologias de detecção de rede, segurança de endpoint e endurecimento — como autenticação multifatorial — para proteger contra múltiplos vetores de ataque, diz ele.
“Também aconselhamos a implementação de auditoria e controle adequados do uso de contas administrativas, [e] você também poderia introduzir credenciais únicas para o trabalho administrativo para ajudar a evitar roubo e uso indevido de credenciais administrativas”, diz O’Brien. “Também sugerimos a criação de perfis de uso para ferramentas administrativas, [porque] muitas dessas ferramentas são usadas pelos atacantes para se mover lateralmente sem serem detectadas através de uma rede.”
FONTE: DARK READING