0
0
As ameaças persistentes avançadas (APTs) do estado norte-coreano estão evoluindo: desenvolvimento de novas cargas úteis; modificar suas táticas, técnicas e procedimentos (TTPs); e visando novos setores e indivíduos sem preconceitos – mesmo que esses próprios indivíduos sejam norte-coreanos.
Em seu relatório de tendências de APT para o primeiro trimestre de 2023, a Kaspersky destacou os desenvolvimentos na atividade de APT em todo o mundo. Na Rússia, por exemplo, os agentes de ameaças estão se sobrepondo e colaborando, apesar de algumas diferenças cruciais nas motivações. E no Irã, grupos conhecidos como MuddyWater e OilRig estão realizando novas campanhas e modificando seu malware, com o primeiro, em particular, se espalhando para países tão distantes quanto Egito, Canadá e Malásia.
Enquanto isso, o Sudeste Asiático “tem sido uma área-chave de desenvolvimento”, diz David Emm, pesquisador sênior de segurança da Kaspersky, “e não mostra sinais de desaceleração tão cedo”.
Uma área de particular destaque é a Coreia do Norte, onde entidades patrocinadas pelo Estado, como a Scarcruft e o notório Lazarus Group, estão atualizando seu malware para perseguir alguns alvos um tanto inesperados. Lazarus, por exemplo, está visando organizações em países que podem não ser imediatamente associados aos interesses norte-coreanos – por exemplo, a Bulgária – enquanto Scarcruft está atacando os próprios norte-coreanos.
Uma atualização sobre o Grupo Lázaro
As façanhas mais famosas do Lazarus Group podem estar muito no passado agora, mas ainda estão tão ativas como sempre.
Em 2022, por exemplo, o grupo aproveitou a crise do Log4j para implantar seu backdoor DTrack e outros malwares pós-exploração em redes pertencentes a organizações no campo da pesquisa científica: biomédica, genética, ciências do solo e energia.
Mais recentemente, em uma campanha que terminou em janeiro deste ano, o grupo armou um cliente backdoor para a ferramenta de administração remota de código aberto UltraVNC. Seu UltraVNC zumbificado pode ter parecido operar normalmente na superfície, enquanto secretamente exfiltrava dados sobre o computador host e baixava para ele uma nova versão do Blindincan
O Blindincan é um Trojan de acesso remoto que permite ao Lazarus ler, gravar e excluir arquivos (entre outras coisas), recuperar informações sobre o sistema operacional e os discos de um host e muito mais. A versão mais recente introduziu plug-ins para expandir a funcionalidade do original.
A análise da campanha de janeiro de 2023 sugeriu que o Blindincan foi implantado contra organizações nos setores manufatureiro e imobiliário na Índia e empresas de telecomunicações no Paquistão e na Bulgária.
O que mais está acontecendo na Coreia do Norte
Enquanto isso, os pesquisadores da Kaspersky observaram o Scarcruft APT implantando um novo ladrão de informações chamado “SidLevel”, escrito em Go, uma tendência popular entre os hackers do Sudeste Asiático ultimamente.
Depois de obter acesso aos dados dos servidores C2 de comando e controle dos atacantes, os pesquisadores encontraram uma riqueza de informações roubadas não de alvos estrangeiros, mas domésticos – e não apenas alvos domésticos, mas indivíduos: romancistas, estudantes e empresários da própria Coreia do Norte.
Ser uma pessoa contra o poder de um APT de estado-nação é uma posição complicada de se estar, reconhece Emm, mas não é tão incomum quanto parece.
“Você sabe, muitas vezes, quando um APT vai atrás de organizações, eles realmente vão atrás de indivíduos”, ressalta. Os hackers geralmente têm como alvo funcionários de baixo nível com acesso a uma infraestrutura de TI mais ampla em uma grande empresa, ou vão diretamente para a garganta: spear-phishing um executivo ou administrador de alto nível com acesso privilegiado a documentos ou sistemas confidenciais.
“Para organizações e indivíduos, a chave é decidir se você está nessa categoria – que você pode ser uma pessoa de interesse”, diz ele. “Então, você realmente precisa pensar acima e além. Ser capaz de detectar atividades suspeitas e tomar muito cuidado com os dados que você está segurando precisa estar além do que talvez um indivíduo comum faria.”
FONTE: DARK READING