Grupo Lazarus invadiu empresa de criptomoeda por meio de anúncios de emprego no LinkedIn

O grupo Lazarus está em busca de criptomoedas mais uma vez e agora lançou um ataque direcionado contra uma organização, explorando o elemento humano da cadeia corporativa.

Na terça-feira, pesquisadores de segurança cibernética da F-Secure disseram que a organização de criptomoedas é uma das últimas vítimas em uma campanha global que tem como alvo empresas em pelo menos 14 países, incluindo Reino Unido e Estados Unidos. 

Lazarus é um grupo de ameaças persistentes avançadas (APT) que se acredita estar ligado à Coreia do Norte . Sanções econômicas contra o país impostas devido a programas nucleares, abusos de direitos humanos e muito mais podem ter algo a ver com o grupo, que se concentra em ataques com motivação financeira que se expandiram para incluir criptomoeda nos últimos três anos. 

O governo dos EUA diz que o Lazarus foi formado em 2007 e, desde então, os pesquisadores atribuíram o grupo como responsável pela onda de ataque global WannaCry, o assalto a banco de US $ 80 milhões em Bangladesh e a campanha de roubo de Bitcoin de HaoBao em 2018. 

De acordo com a F-Secure, o último ataque do Lazarus foi rastreado por meio de um anúncio de emprego no LinkedIn. O alvo humano, um administrador de sistema, recebeu um documento de phishing em sua conta pessoal do LinkedIn relacionado a uma empresa de tecnologia de blockchain em busca de um novo administrador de sistema com o conjunto de habilidades do funcionário.   

O e-mail de phishing é semelhante às amostras do Lazarus já disponibilizadas no VirusTotal , incluindo os mesmos nomes, autores e elementos de contagem de palavras. 

Como acontece com muitos documentos de phishing, você precisa convencer a vítima a habilitar macros que ocultam códigos maliciosos para que sejam eficazes. Nesse caso, o documento do Microsoft Word alegou estar protegido pelo Regulamento Geral de Proteção de Dados da UE (GDPR) e, portanto, o conteúdo do documento só poderia ser mostrado se as macros estivessem ativadas. 

Depois que a permissão é concedida, a macro do documento cria um arquivo .LNK projetado para executar um arquivo chamado mshta.exe e chamar um link bit.ly conectado a um VBScript. 

Este script conduz verificações do sistema e envia informações operacionais para um servidor de comando e controle (C2). O C2 fornece um script PowerShell capaz de buscar cargas de malware do Lazarus. 

A cadeia de infecção muda dependendo da configuração do sistema e uma variedade de ferramentas são usadas pelos atores da ameaça. Isso inclui dois implantes de backdoor semelhantes aos já documentados pela Kaspersky (.PDF) e ESET . 

O Lazarus também está usando um carregador executável portátil personalizado (PE), carregado no processo lsass.exe como um pacote de ‘segurança’ que modifica as chaves do registro usando o utilitário schtasks do Windows.
 
Outras variantes de malware usadas pelo Lazarus são capazes de executar comandos arbitrários, descompactar dados na memória, bem como baixar e executar arquivos adicionais. Essas amostras, incluindo um arquivo chamado LSSVC.dll, também foram usadas para conectar implantes backdoor a outros hosts de destino. 

Uma versão personalizada do Mimikatz é usada para coletar credenciais de uma máquina infectada, especialmente aquelas com valor financeiro – como carteiras de criptomoedas ou contas bancárias online. 

A F-Secure afirma que o Lazarus tentou evitar a detecção limpando as evidências, incluindo a exclusão de eventos e logs de segurança. No entanto, ainda foi possível obter algumas amostras do kit de ferramentas atual do APT para investigar as atividades atuais do grupo. 

“A avaliação da F-Secure é que o grupo continuará a visar organizações dentro da vertical da criptomoeda enquanto continua a ser uma busca lucrativa, mas também pode se expandir para visar os elementos da cadeia de suprimentos da vertical para aumentar os retornos e a longevidade da campanha”, pesquisadores dizem.  

Fonte: https://www.zdnet.com/article/lazarus-group-strikes-cryptocurrency-firm-through-linkedin-job-adverts/