Como parte dos ataques observados, o grupo usou um cluster de malware DeathNote atualizado, que inclui uma versão ligeiramente modificada do BLINDINGCAN, uma peça de malware que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) associou ao grupo.
Uma nova variante de COPPERHEDGE, que Lazarus tem usado por pelo menos dois anos, também foi usada nesses ataques.
O cluster de malware atualizado foi usado em ataques contra um “think tank sul-coreano e um fornecedor de solução de monitoramento de ativos de TI”, disse a Kaspersky em seu relatório trimestral de tendências APT .
Como parte do primeiro incidente, o grupo Lazarus comprometeu um software de segurança sul-coreano legítimo para construir uma cadeia de infecção e implantar sua carga maliciosa, enquanto o segundo ataque começou com o objetivo de um desenvolvedor de soluções de monitoramento de ativos na Letônia.
O downloader Racket, assinado com um certificado roubado, foi usado como parte da cadeia de infecção. O grupo de hackers comprometeu servidores da Web vulneráveis e implantou neles scripts que lhes permitiam controlar os implantes maliciosos.
Nos últimos meses, a Kaspersky também observou o Lazarus visando a indústria de defesa com a estrutura de malware MATA, para fins de espionagem cibernética. Anteriormente, o grupo usava o MATA para vários fins, incluindo roubo de informações e entrega de ransomware.
Os ataques empregaram uma cadeia de infecção de vários estágios em que um downloader foi usado para buscar malware adicional do servidor de comando e controle (C&C). Lazarus atualizou a estrutura MATA para esta campanha e também usou um certificado digital legítimo, mas roubado, para assinar alguns de seus componentes.
“Por meio dessa pesquisa, descobrimos uma conexão mais forte entre a MATA e o grupo Lazarus, incluindo o fato de que o malware de download que buscava o malware MATA mostrava ligações com o TangoDaiwbo, que havíamos anteriormente atribuído ao grupo Lazarus”, disse Kaspersky.
Ativo desde pelo menos 2009 e também conhecido como Hidden Cobra, acredita-se que Lazarus tenha orquestrado vários ataques de alto perfil. Em 2020, o grupo teve como alvo a pesquisa COVID-19 , incluindo a fabricante de vacinas Pfizer e membros da comunidade de pesquisa de segurança .
“Este grupo APT não é o único visto usando ataques à cadeia de suprimentos. No último trimestre, também rastreamos esses ataques realizados por SmudgeX e BountyGlad. Quando realizados com sucesso, os ataques à cadeia de suprimentos podem causar resultados devastadores, afetando muito mais de uma organização – algo que vimos claramente com o ataque à SolarWinds no ano passado. Com os atores da ameaça investindo em tais capacidades, precisamos permanecer vigilantes e concentrar os esforços de defesa nessa frente ”, disse o pesquisador da Kaspersky, Ariel Jungheit.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…