Nova campanha do grupo Lazarus explora software legítimo
Uma nova campanha do infame grupo Lazarus dirigida a organizações de todo o mundo foi descoberta pela Equipa de Investigação e Análise (GReAT) da Kaspersky. A investigação apresentada no Security Analyst Summit (SAS) revelou uma sofisticada campanha APT distribuída através de malware e disseminada através de software legítimo.
A equipa GReAT identificou uma série de incidentes cibernéticos que envolviam alvos infetados através de software legítimo concebido para encriptar a comunicação na Web utilizando certificados digitais. Apesar de as vulnerabilidades terem sido comunicadas e corrigidas, as organizações de todo o mundo continuaram a utilizar a versão defeituosa do software, proporcionando um ponto de entrada para o infame grupo Lazarus.
Este grupo demonstrou um elevado nível de sofisticação, empregando técnicas avançadas de evasão e implantando um malware “SIGNBT” para controlar as vítimas. Aplicou também a já conhecida ferramenta LPEClient, anteriormente utilizada para atacar empresas do sector da defesa, engenheiros nucleares e o sector das criptomoedas. Este malware atua como o ponto inicial de infeção e desempenha um papel crucial na definição do perfil da vítima e na entrega do payload. As observações dos investigadores da Kaspersky indicam que o papel do LPEClient neste e noutros ataques se alinha com as táticas utilizadas pelo grupo Lazarus, como também se viu no famoso ataque à cadeia de abastecimento 3CX.
Uma investigação mais aprofundada revelou que o malware Lazarus já tinha visado a vítima inicial, um fornecedor de software, várias vezes antes. Este padrão de ataques recorrentes indica um adversário determinado e concentrado, provavelmente com a intenção de roubar código-fonte crítico ou perturbar a cadeia de fornecimento de software. O agente da ameaça explorou consistentemente vulnerabilidades no software da empresa e alargou o seu âmbito de ação, visando outras empresas que utilizavam a versão não corrigida do software. A solução Endpoint Security da Kaspersky identificou a ameaça de forma proativa e evitou ataques futuros contra outros alvos.
“A atividade contínua do grupo Lazarus é um testemunho das suas capacidades avançadas e da sua motivação inabalável. Operam a uma escala global, visando uma vasta gama de indústrias com um conjunto diversificado de métodos. Isto significa uma ameaça contínua e em evolução que exige uma vigilância acrescida,” refere Seongsu Park, Investigador de Segurança Principal na Equipa de Investigação e Análise Global da Kaspersky.