O Grupo Lazarus, um ator de ameaças infame ligado à República Popular Democrática da Coreia (RPDC), foi observado aproveitando uma "cadeia de infecção complexa" visando pelo menos dois funcionários pertencentes a uma organização relacionada ao nuclear não nomeada, dentro do período de um mês em janeiro de 2024.
Os ataques, que culminaram na implantação de uma nova backdoor modular referida como CookiePlus, fazem parte de uma longa campanha de espionagem cibernética conhecida como Operation Dream Job, que também é monitorada como NukeSped pela empresa de cibersegurança Kaspersky.
Sabe-se que está ativa desde pelo menos 2020, quando foi exposta pela ClearSky.
Essas atividades geralmente envolvem o direcionamento de desenvolvedores e funcionários em várias empresas, incluindo defesa, aeroespacial, criptomoeda e outros setores globais, com oportunidades de emprego lucrativas que acabam levando à implantação de malware em suas máquinas.
"Lazarus está interessado em realizar ataques à cadeia de suprimentos como parte da campanha DeathNote, mas isso se limita principalmente a dois métodos: o primeiro é enviando um documento malicioso ou um visualizador de PDF trojanizado que exibe as descrições de trabalho sob medida para o alvo", disse a firma russa em uma análise exaustiva.
"O segundo é distribuindo ferramentas de acesso remoto trojanizadas, como VNC ou PuTTY, para convencer os alvos a se conectarem a um servidor específico para uma avaliação de habilidades."
O último conjunto de ataques documentado pela Kaspersky envolve o segundo método, com o adversário utilizando uma cadeia de infecção completamente renovada entregando uma utilidade VNC trojanizada sob o pretexto de conduzir uma avaliação de habilidades para posições de TI em empresas aeroespaciais e de defesa proeminentes.
Vale ressaltar que o uso pelo Grupo Lazarus de versões rogue de aplicativos VNC para visar engenheiros nucleares foi anteriormente destacado pela empresa em outubro de 2023 em seu relatório de tendências APT para o Q3 de 2023.
"Lazarus entregou o primeiro arquivo de arquivo para pelo menos duas pessoas dentro da mesma organização (vamos chamá-los de Host A e Host B)", disseram os pesquisadores Vasily Berdnikov e Sojun Ryu.
Após um mês, eles tentaram ataques mais intensivos contra o primeiro alvo.
Os aplicativos VNC, uma versão trojanizada do TightVNC chamada "AmazonVNC.exe", acreditam-se terem sido distribuídos na forma de imagens ISO e arquivos ZIP.
Em outros casos, uma versão legítima do UltraVNC foi usada para carregar uma DLL maliciosa embutida no arquivo ZIP.
A DLL ("vnclang.dll") serve como um carregador para uma backdoor denominada MISTPEN, que foi descoberta pela Mandiant, de propriedade do Google, em setembro de 2024.
Está rastreando o cluster de atividade sob o codinome UNC2970.
MISTPEN, por sua vez, foi encontrado para entregar dois payloads adicionais codinomeadas RollMid e uma nova variante do LPEClient.
Kaspersky disse que também observou o malware CookieTime sendo implantado no Host A, embora o método exato que foi usado para facilitá-lo permaneça desconhecido.
Primeiramente descoberto pela empresa em setembro e novembro de 2020, CookieTime é assim denominado pelo seu uso de valores de cookie codificados em solicitações HTTP para buscar instruções de um servidor de comando e controle (C2).
Uma investigação adicional da cadeia de ataque revelou que o ator de ameaça moveu-se lateralmente do Host A para outra máquina (Host C), onde CookieTime foi novamente usado para soltar vários payloads entre fevereiro e junho de 2024, tais como segue:
LPEClient, um malware equipado com capacidades para perfilar hosts comprometidos
ServiceChanger, um malware que interrompe um serviço legítimo direcionado para carregar uma DLL vilã embutida nele usando o executável via carregamento lateral de DLL
Charamel Loader, um malware carregador que decripta e carrega recursos internos como CookieTime, CookiePlus e ForestTiger
CookiePlus, um novo programa malicioso baseado em plugin que é carregado tanto pelo ServiceChanger quanto pelo Charamel Loader
"A diferença entre cada CookiePlus carregado pelo Charamel Loader e pelo ServiceChanger é a maneira como é executado. O primeiro é executado como uma DLL sozinha e inclui as informações de C2 em sua seção de recursos", os pesquisadores apontaram.
"O último busca o que está armazenado em um arquivo externo separado, como msado.inc, significando que o CookiePlus tem a capacidade de obter uma lista C2 tanto de um recurso interno quanto de um arquivo externo. De resto, o comportamento é o mesmo."
CookiePlus recebeu este nome pelo fato de ter sido disfarçado como um plugin de código aberto do Notepad++ chamado ComparePlus quando foi detectado no ambiente selvagem pela primeira vez.
Nos ataques visando a entidade relacionada ao nuclear, descobriu-se que é baseado em outro projeto chamado DirectX-Wrappers.
O malware serve como um downloader para recuperar um payload codificado em Base64, criptografado com RSA, do servidor C2, que é então decodificado e decifrado para executar três shellcodes diferentes ou uma DLL.
Os shellcodes são equipados com recursos para coletar informações do sistema e fazer o módulo principal do CookiePlus dormir por um determinado número de minutos.
Suspeita-se que o CookiePlus seja um sucessor do MISTPEN devido a sobreposições comportamentais entre as duas famílias de malware, incluindo o aspecto de que ambos se disfarçaram como plugins do Notepad++.
"Ao longo de sua história, o grupo Lazarus usou apenas um pequeno número de frameworks de malware modulares, como Mata e Gopuram Loader", disse Kaspersky.
O fato de eles introduzirem novos malwares modulares, como o CookiePlus, sugere que o grupo está constantemente trabalhando para aprimorar seu arsenal e cadeias de infecção para evadir a detecção por produtos de segurança.
Os achados surgem enquanto a firma de inteligência de blockchain Chainalysis revelou que atores de ameaças afiliados à Coreia do Norte roubaram $1,34 bilhão em 47 ataques a criptomoedas em 2024, subindo de $660,50 milhões em 2023.
Isso incluiu a violação de maio de 2024 da exchange de criptomoedas japonesa, DMM Bitcoin, que sofreu uma perda de $305 milhões na época.
"Infelizmente, parece que os ataques de cripto da RPDC estão se tornando mais frequentes", disse a empresa.
Notavelmente, ataques entre $50 e $100 milhões, e aqueles acima de $100 milhões ocorreram muito mais frequentemente em 2024 do que em 2023, sugerindo que a RPDC está ficando melhor e mais rápida em explorar massivamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...