Como parte dos ataques observados, o grupo usou um cluster de malware DeathNote atualizado, que inclui uma versão ligeiramente modificada do BLINDINGCAN, uma peça de malware que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) associou ao grupo.
Uma nova variante de COPPERHEDGE, que Lazarus tem usado por pelo menos dois anos, também foi usada nesses ataques.
O cluster de malware atualizado foi usado em ataques contra um “think tank sul-coreano e um fornecedor de solução de monitoramento de ativos de TI”, disse a Kaspersky em seu relatório trimestral de tendências APT .
Como parte do primeiro incidente, o grupo Lazarus comprometeu um software de segurança sul-coreano legítimo para construir uma cadeia de infecção e implantar sua carga maliciosa, enquanto o segundo ataque começou com o objetivo de um desenvolvedor de soluções de monitoramento de ativos na Letônia.
O downloader Racket, assinado com um certificado roubado, foi usado como parte da cadeia de infecção. O grupo de hackers comprometeu servidores da Web vulneráveis e implantou neles scripts que lhes permitiam controlar os implantes maliciosos.
Nos últimos meses, a Kaspersky também observou o Lazarus visando a indústria de defesa com a estrutura de malware MATA, para fins de espionagem cibernética. Anteriormente, o grupo usava o MATA para vários fins, incluindo roubo de informações e entrega de ransomware.
Os ataques empregaram uma cadeia de infecção de vários estágios em que um downloader foi usado para buscar malware adicional do servidor de comando e controle (C&C). Lazarus atualizou a estrutura MATA para esta campanha e também usou um certificado digital legítimo, mas roubado, para assinar alguns de seus componentes.
“Por meio dessa pesquisa, descobrimos uma conexão mais forte entre a MATA e o grupo Lazarus, incluindo o fato de que o malware de download que buscava o malware MATA mostrava ligações com o TangoDaiwbo, que havíamos anteriormente atribuído ao grupo Lazarus”, disse Kaspersky.
Ativo desde pelo menos 2009 e também conhecido como Hidden Cobra, acredita-se que Lazarus tenha orquestrado vários ataques de alto perfil. Em 2020, o grupo teve como alvo a pesquisa COVID-19 , incluindo a fabricante de vacinas Pfizer e membros da comunidade de pesquisa de segurança .
“Este grupo APT não é o único visto usando ataques à cadeia de suprimentos. No último trimestre, também rastreamos esses ataques realizados por SmudgeX e BountyGlad. Quando realizados com sucesso, os ataques à cadeia de suprimentos podem causar resultados devastadores, afetando muito mais de uma organização – algo que vimos claramente com o ataque à SolarWinds no ano passado. Com os atores da ameaça investindo em tais capacidades, precisamos permanecer vigilantes e concentrar os esforços de defesa nessa frente ”, disse o pesquisador da Kaspersky, Ariel Jungheit.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…