O grupo de ameaça vinculado à Coreia do Norte, conhecido como Lazarus Group, foi identificado como responsável por uma campanha de engenharia social que distribui três diferentes malwares cross-platform chamados PondRAT, ThemeForestRAT e RemotePE.
O ataque, observado pela Fox-IT, parte da NCC Group, em 2024, teve como alvo uma organização do setor de finanças descentralizadas (DeFi), resultando, finalmente, no comprometimento do sistema de um funcionário.
“A partir daí, o ator realizou atividades de discovery dentro da rede usando diferentes RATs em combinação com outras ferramentas, por exemplo, para coletar credenciais ou proxy connections,” disseram Yun Zheng Hu e Mick Koomen.
Depois, o ator migrou para um RAT mais furtivo, provavelmente indicando uma próxima fase do ataque.
A cadeia de ataque começa com o ator de ameaça se passando por um funcionário existente de uma empresa de trading no Telegram e utilizando sites falsos que se passam por Calendly e Picktime para agendar uma reunião com a vítima.
Embora o vetor exato de acesso inicial ainda não seja conhecido, o ponto de apoio foi explorado para implantar um loader chamado PerfhLoader, que então dropa o PondRAT, um malware conhecido e avaliado como uma variante simplificada do POOLRAT (também conhecido como SIMPLESEA).
A empresa de cibersegurança afirmou que há evidências que indicam que uma vulnerabilidade zero-day no navegador Chrome foi usada no ataque.
Além do PondRAT, foram entregues outras ferramentas, incluindo um screenshotter, keylogger, ladrão de credenciais e cookies do Chrome, Mimikatz, FRPC e programas proxy como MidProxy e Proxy Mini.
“O PondRAT é um RAT simples que permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode,” disse a Fox-IT, acrescentando que ele existe pelo menos desde 2021.
O ator usou o PondRAT em combinação com o ThemeForestRAT por cerca de três meses, para depois fazer limpeza e instalar um RAT mais sofisticado chamado RemotePE.
O malware PondRAT é projetado para se comunicar via HTTP(S) com um servidor de comando e controle (C2) hard-coded para receber instruções adicionais, enquanto o ThemeForestRAT é executado diretamente na memória, seja via PondRAT ou por um loader dedicado.
Assim como o PondRAT, o ThemeForestRAT monitora novas sessões de Remote Desktop (RDP) e se comunica com um servidor C2 via HTTP(S) para buscar até vinte comandos diferentes que incluem enumeração de arquivos/diretórios, operações de arquivos, execução de comandos, teste de conexão TCP, timestomp de arquivos a partir de outros no disco, listagem de processos, download de arquivos, injeção de shellcode, spawn de processos e hibernação por determinado tempo.
A Fox-IT afirmou que o ThemeForestRAT apresenta semelhanças com um malware codificado como RomeoGolf, utilizado pelo Lazarus Group no ataque destrutivo de wiper contra a Sony Pictures Entertainment (SPE) em novembro de 2014.
Esse caso foi documentado pela Novetta como parte de uma iniciativa colaborativa chamada Operation Blockbuster.
Por sua vez, o RemotePE é baixado de um servidor C2 pelo RemotePELoader, que, por sua vez, é carregado pelo DPAPILoader.
Escrito em C++, o RemotePE é um RAT mais avançado, provavelmente reservado para alvos de alto valor.
“O PondRAT é um RAT primitivo que oferece pouca flexibilidade, mas, como payload inicial, cumpre seu propósito,” explicou a Fox-IT.
Para tarefas mais complexas, o ator utiliza o ThemeForestRAT, que possui mais funcionalidades e permanece discreto por ser carregado apenas na memória.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...