Grupo Lazarus invadiu empresa de criptomoeda por meio de anúncios de emprego no LinkedIn
Um administrador de sistema provou ser o elo mais fraco, abrindo a porta para o ataque de Lazarus.
O grupo Lazarus está em busca de criptomoedas mais uma vez e agora lançou um ataque direcionado contra uma organização, explorando o elemento humano da cadeia corporativa.
Na terça-feira, pesquisadores de segurança cibernética da F-Secure disseram que a organização de criptomoedas é uma das últimas vítimas em uma campanha global que tem como alvo empresas em pelo menos 14 países, incluindo Reino Unido e Estados Unidos.
Lazarus é um grupo de ameaças persistentes avançadas (APT) que se acredita estar ligado à Coreia do Norte . Sanções econômicas contra o país impostas devido a programas nucleares, abusos de direitos humanos e muito mais podem ter algo a ver com o grupo, que se concentra em ataques com motivação financeira que se expandiram para incluir criptomoeda nos últimos três anos.
O governo dos EUA diz que o Lazarus foi formado em 2007 e, desde então, os pesquisadores atribuíram o grupo como responsável pela onda de ataque global WannaCry, o assalto a banco de US $ 80 milhões em Bangladesh e a campanha de roubo de Bitcoin de HaoBao em 2018.
De acordo com a F-Secure, o último ataque do Lazarus foi rastreado por meio de um anúncio de emprego no LinkedIn. O alvo humano, um administrador de sistema, recebeu um documento de phishing em sua conta pessoal do LinkedIn relacionado a uma empresa de tecnologia de blockchain em busca de um novo administrador de sistema com o conjunto de habilidades do funcionário.
O e-mail de phishing é semelhante às amostras do Lazarus já disponibilizadas no VirusTotal , incluindo os mesmos nomes, autores e elementos de contagem de palavras.
Como acontece com muitos documentos de phishing, você precisa convencer a vítima a habilitar macros que ocultam códigos maliciosos para que sejam eficazes. Nesse caso, o documento do Microsoft Word alegou estar protegido pelo Regulamento Geral de Proteção de Dados da UE (GDPR) e, portanto, o conteúdo do documento só poderia ser mostrado se as macros estivessem ativadas.
Depois que a permissão é concedida, a macro do documento cria um arquivo .LNK projetado para executar um arquivo chamado mshta.exe e chamar um link bit.ly conectado a um VBScript.
Este script conduz verificações do sistema e envia informações operacionais para um servidor de comando e controle (C2). O C2 fornece um script PowerShell capaz de buscar cargas de malware do Lazarus.
A cadeia de infecção muda dependendo da configuração do sistema e uma variedade de ferramentas são usadas pelos atores da ameaça. Isso inclui dois implantes de backdoor semelhantes aos já documentados pela Kaspersky (.PDF) e ESET .
O Lazarus também está usando um carregador executável portátil personalizado (PE), carregado no processo lsass.exe como um pacote de ‘segurança’ que modifica as chaves do registro usando o utilitário schtasks do Windows.
Outras variantes de malware usadas pelo Lazarus são capazes de executar comandos arbitrários, descompactar dados na memória, bem como baixar e executar arquivos adicionais. Essas amostras, incluindo um arquivo chamado LSSVC.dll, também foram usadas para conectar implantes backdoor a outros hosts de destino.
Uma versão personalizada do Mimikatz é usada para coletar credenciais de uma máquina infectada, especialmente aquelas com valor financeiro – como carteiras de criptomoedas ou contas bancárias online.
A F-Secure afirma que o Lazarus tentou evitar a detecção limpando as evidências, incluindo a exclusão de eventos e logs de segurança. No entanto, ainda foi possível obter algumas amostras do kit de ferramentas atual do APT para investigar as atividades atuais do grupo.
“A avaliação da F-Secure é que o grupo continuará a visar organizações dentro da vertical da criptomoeda enquanto continua a ser uma busca lucrativa, mas também pode se expandir para visar os elementos da cadeia de suprimentos da vertical para aumentar os retornos e a longevidade da campanha”, pesquisadores dizem.
