0
0
Os pesquisadores da ESET descobriram e analisaram um conjunto de ferramentas maliciosas que foram usadas pelo grupo Lazarus APT em ataques durante o final de 2021. A campanha começou com e-mails de spear phishing contendo documentos maliciosos com tema da Amazon e teve como alvo um funcionário de uma empresa aeroespacial em na Holanda e um jornalista político na Bélgica. O principal objetivo dos invasores era a exfiltração de dados .
Documento com tema da Amazon enviado para o alvo na Holanda. Fonte: ESET
Ambas as vítimas receberam ofertas de emprego: o funcionário na Holanda recebeu um anexo via LinkedIn Messaging e o jornalista na Bélgica recebeu um documento por e-mail. Os ataques começaram depois que esses documentos foram abertos. Os invasores implantaram várias ferramentas maliciosas no sistema, incluindo droppers, loaders, backdoors HTTP(S) completos e carregadores HTTP(S).
A ferramenta mais notável fornecida pelos invasores foi um módulo de modo de usuário que ganhou a capacidade de ler e gravar na memória do kernel devido à vulnerabilidade CVE-2021-21551 em um driver Dell legítimo. Essa vulnerabilidade afeta os drivers Dell DBUtil; A Dell forneceu uma atualização de segurança em maio de 2021. Este é o primeiro abuso registrado dessa vulnerabilidade em estado selvagem.
“Os invasores usaram o acesso de gravação da memória do kernel para desabilitar sete mecanismos que o sistema operacional Windows oferece para monitorar suas ações, como registro, sistema de arquivos, criação de processos, rastreamento de eventos, etc., basicamente cegando soluções de segurança de uma maneira muito genérica e robusta. ”, explica Peter Kálnai , pesquisador sênior de malware da ESET, que descobriu a campanha. “Não foi feito apenas no espaço do kernel, mas também de maneira robusta, usando uma série de componentes internos do Windows pouco ou não documentados. Sem dúvida, isso exigiu profunda pesquisa, desenvolvimento e habilidades de teste”, acrescenta.
Lazarus também usou um backdoor HTTP(S) completo conhecido como BLINDINGCAN. A ESET acredita que este trojan de acesso remoto (RAT) possui um controlador complexo do lado do servidor com uma interface amigável através da qual o operador pode controlar e explorar sistemas comprometidos.
Na Holanda, o ataque afetou um computador Windows 10 conectado à rede corporativa, onde um funcionário foi contatado via LinkedIn Messaging sobre um possível novo emprego, resultando no envio de um email com um anexo de documento. O arquivo do Word Amzon_Netherlands.docx enviado à vítima é apenas um documento de esboço com um logotipo da Amazon. Os pesquisadores não conseguiram adquirir o modelo remoto, mas supõem que ele pode conter uma oferta de emprego para o programa espacial da Amazon, Projeto Kuiper. Este é um método que Lazarus praticou nas campanhas Operation In(ter)ception e Operation DreamJob visando as indústrias aeroespacial e de defesa.
Com base no número de códigos de comando disponíveis para o operador, é provável que um controlador do lado do servidor esteja disponível onde o operador possa controlar e explorar sistemas comprometidos. Os mais de duas dúzias de comandos disponíveis incluem download, upload, reescrita e exclusão de arquivos e capturas de tela.
“Neste ataque, assim como em muitos outros atribuídos ao Lazarus, vimos que muitas ferramentas foram distribuídas mesmo em um único endpoint alvo em uma rede de interesse. Sem dúvida, a equipe por trás do ataque é bastante grande, sistematicamente organizada e excelentemente preparada”, diz Kálnai.
A ESET Research atribui esses ataques ao Lazarus com alta confiança. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem esse grupo, bem como o fato de ele desempenhar os três pilares das atividades cibercriminosas: ciberespionagem, cibersabotagem e busca de ganhos financeiros. Lazarus (também conhecido como HIDDEN COBRA) está ativo desde pelo menos 2009. É responsável por vários incidentes de alto perfil.
FONTE: HELPNET SECURITY