-
Investigadores da ESET descobriram um ataque levado a cabo pelo grupo de ciberespionagem Lazarus contra uma empresa aeroespacial em Espanha.
-
Os funcionários da empresa visada foram contactados por um recrutador falso através do LinkedIn. De seguida, foram levados a abrir um ficheiro executável malicioso mascarado de desafio de programação ou quiz.
-
O objetivo final do ataque, que envolveu técnicas avançadas de evasão a software de monitorização de segurança em tempo-real, era ciberespionagem.
Investigadores da ESET descobriram um ataque do grupo APT Lazarus contra uma empresa aeroespacial em Espanha. O grupo utilizou várias ferramentas com o objetivo final de promover ações de ciberespionagem.
Um grupo com fortes ligações ao governo da Coreia do Norte, o Lazarus obteve acesso inicial à rede da empresa em Espanha no ano passado, após uma campanha altamente direcionada de phishing (também designada de spearphishing). Na campanha, operadores do grupo fizeram-se passar por recrutadores da Meta, a empresa por detrás do Facebook, Instagram e WhatsApp.
Para levar a cabo o ataque, o grupo APT Lazarus distribuiu malware que executava ações específicas que os atacantes desejavam realizar (ou payload) de um novo tipo, que a ESET designou de LightlessCan. Este payload é uma ferramenta complexa e, possivelmente, em evolução. O payload exibe um elevado nível de sofisticação no seu design e operabilidade, representando um avanço significativo nas capacidades maliciosas quando comparado com outras ferramentas.
Passos iniciais do ataque
Na primeira abordagem aos funcionários da empresa visada, o recrutador impostor contactou as vítimas através do LinkedIn Messaging, uma funcionalidade da plataforma de rede social profissional LinkedIn, enviando-lhes dois desafios de programação supostamente necessários como parte do processo de recrutamento, que a vítima descarregou e executou num dispositivo da empresa. A ESET foi capaz de reconstruir os passos iniciais de acesso e analisar as ferramentas utilizadas pelo Lazarus graças à cooperação com a empresa afetada.
O grupo APT Lazarus enviou vários payloads para os sistemas das vítimas. O mais notável foi o trojan de acesso remoto (Remote Access Trojan – RAT) sofisticado e anteriormente não documentado LightlessCan. O trojan imita as funcionalidades de uma vasta gama de comandos nativos do Windows, normalmente utilizados de forma fraudulenta pelos agentes maliciosos, permitindo uma execução discreta dentro do próprio RAT em vez de execuções visíveis na consola. Esta mudança estratégica aumenta a dissimulação, tornando a deteção e análise das atividades do grupo APT mais difícil.
Outro mecanismo usado para minimizar a exposição foram os execution guardrails. Trata-se de um conjunto de protocolos e mecanismos de proteção implementados para salvaguardar a integridade e a confidencialidade do payload durante a sua implementação e execução. Os execution guardrails impedem eficazmente a desencriptação em máquinas não visadas, como as dos investigadores de segurança.
Ciberespionagem, cibersabotagem e ganhos financeiros
O Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT de ciberespionagem com fortes ligações à Coreia do Norte que está ativo desde, pelo menos, 2009. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo. O Lazarus executa os três pilares das atividades cibercriminosas: ciberespionagem, cibersabotagem e procura de ganhos financeiros. As empresas aeroespaciais não são um alvo invulgar para os grupos APT alinhados com a Coreia do Norte. O país efetuou vários testes de mísseis avançados que violam as resoluções do Conselho de Segurança das Nações Unidas.
Para mais informações técnicas sobre o grupo APT Lazarus, o seu último ataque e o LightlessCan, consulte o artigo completo no WeLiveSecurity.