0
0
Uma operação dentro do notório Lazarus Group da Coreia do Norte, que inicialmente se concentrou apenas em ataques de mineração de moedas, começou a visar organizações do setor de defesa em todo o mundo.
A mudança de foco do cluster DeathNote começou em 2020 com ataques a organizações automotivas e acadêmicas na Europa Oriental ligadas à indústria de defesa. Pesquisadores da Kaspersky que acompanham as atividades do DeathNote descobriram que o subgrupo Lazarus acompanha esse ataque com campanhas subsequentes em empresas de defesa e relacionadas à defesa na Europa, América Latina, África e Coreia do Sul.
Uma campanha RAT em andamento
A Kaspersky observou que o DeathNote se envolveu em duas campanhas contra empresas de defesa apenas em 2022. Um deles ainda está em andamento e envolve uma organização do setor de defesa na África. O fornecedor de segurança descobriu a campanha em julho passado e descobriu que o DeathNote inicialmente violou a empresa por meio de um leitor de PDF trojanizado e de código aberto enviado via Skype Messenger. Uma vez executado, o leitor de PDF criou um arquivo legítimo e um arquivo malicioso no mesmo diretório na máquina infectada.
Em seguida, ele usou uma técnica conhecida como carregamento lateral de DLL para instalar malware para roubar informações do sistema e baixou um sofisticado cavalo de Tróia de acesso remoto (RAT) de segundo estágio chamado Copperhedge de um servidor de comando e controle controlado por invasor (C2). O Copperhedge é um malware que os clusters do Lazarus Group usaram em outros ataques, incluindo um contra uma empresa de TI sul-coreana em 2021.
A análise da Kaspersky do ataque mostrou o malware usando vários comandos e ferramentas legítimos do Windows, como o Mimikatz, para tudo, desde o reconhecimento inicial em um sistema host comprometido e a aquisição de credenciais de login, até o movimento lateral e a exfiltração. Para adquirir informações básicas do sistema, por exemplo, o malware usou comandos do Windows para encontrar TCP e informações do sistema, ou para consultar a lista de servidores salvos do Registro.
Para se mover lateralmente, o ator usou uma técnica chamada ServiceMove, que aproveita o Serviço de Simulação de Percepção do Windows para carregar arquivos DLL arbitrários, disse a Kaspersky. “Quando o grupo completou sua missão e começou a exfiltrar dados, eles utilizaram principalmente o utilitário WinRAR para compactar arquivos e transmiti-los através de canais de comunicação C2.”
As táticas, técnicas e procedimentos (TTPs) que a DeathNote empregou em sua campanha contra o empreiteiro de defesa na África foram semelhantes aos que a Kaspersky observou em outra campanha de 2022 que atingiu uma empresa de defesa na América Latina.
Uma gama cada vez maior de alvos cibernéticos
O pesquisador de segurança da Kaspersky, Seongsu Park, diz que a evolução do DeathNote de ataques de mineração de criptomoedas para espionagem no setor de defesa é consistente com os esforços do Lazarus Group para ampliar sua lista de alvos ao longo dos anos.
“Embora eles tenham atacado principalmente o setor de defesa no passado, como publicamos recentemente, eles também visaram think tanks e o setor médico”, explica ele. “Isso demonstra a ampla gama de alvos do grupo.”
O Lazarus Group, que muitos acreditam ser uma ameaça persistente avançada (APT) afiliada ao governo norte-coreano, chamou a atenção pela primeira vez com um ataque de 2014 à Sony Pictures por causa de um filme satírico sobre o líder norte-coreano Kim Jong-un. Ao longo dos anos, os pesquisadores vincularam o grupo a inúmeros outros ataques de alto perfil, incluindo o surto de ransomware WannaCry, ataques que drenaram dezenas de milhões de dólares de bancos em Bangladesh e ataques a grandes empresas de criptomoedas.
O cluster do DeathNote é apenas um dos pelo menos sete clusters de malware Lazarus separados que estão ativos no momento. Os outros, de acordo com a Kaspersky, são ThreatNeedle, Bookcode, AppleJeus, Mata, CookieTime e Manuscrypt. O grupo Lazarus opera vários clusters simultaneamente e cada um desses clusters opera de maneira sofisticada, usando seu próprio kit de ferramentas de malware com recursos às vezes sobrepostos, diz Park.
“Cada um de seus clusters muda de meta de tempos em tempos”, observa Park. “Observamos que outros clusters, por exemplo, CookieTime e Bookcode, pertencentes ao grupo Lazarus, também tiveram como alvo a indústria de defesa antes.”
Os TTPs típicos do DeathNote incluíram o uso de e-mails de spear-phishing com aplicativos de leitura de Word ou PDF armados. Durante os dias em que o cluster se concentrou na mineração de moedas, ele usou iscas temáticas de criptomoedas para tentar fazer com que as vítimas executassem o vetor de infecção inicial. Desde que mudou para alvos de defesa, o cluster tem usado iscas temáticas de defesa – incluindo aquelas que pretendem ser anúncios de emprego – como iscas de phishing. A Kaspersky disse que descobriu que o DeathNote apenas descartou a carga útil de segundo estágio em sistemas pertencentes a vítimas que considerava valiosas do ponto de vista da ciberespionagem.
Por enquanto, pelo menos as campanhas do DeathNote visando o setor de defesa não afetaram as organizações dos EUA.
FONTE: DARK READING