Pelo menos seis organizações na Coreia do Sul foram alvo do prolífico grupo Lazarus, vinculado à Coreia do Norte, como parte de uma campanha intitulada Operation SyncHole.
A atividade focou nas indústrias de software, TI, financeira, fabricação de semicondutores e telecomunicações da Coreia do Sul, de acordo com um relatório da Kaspersky publicado hoje.
A primeira evidência de comprometimento foi detectada em novembro de 2024.
A campanha envolveu "uma combinação sofisticada de uma estratégia de watering hole e exploração de vulnerabilidade dentro do software sul-coreano", disseram os pesquisadores de segurança Sojun Ryu e Vasily Berdnikov.
"Uma vulnerabilidade zero-day no Innorix Agent também foi usada para movimento lateral." Os ataques foram observados pavimentando o caminho para variações de ferramentas conhecidas do Lazarus, tais como ThreatNeedle, AGAMEMNON, wAgent, SIGNBT e COPPERHEDGE.
O que torna essas intrusões particularmente eficazes é provavelmente a exploração de uma vulnerabilidade de segurança no Cross EX, um software legítimo prevalente na Coreia do Sul para habilitar o uso de software de segurança em operações bancárias online e sites governamentais para suportar anti-keylogging e assinaturas digitais baseadas em certificados.
"O grupo Lazarus mostra uma forte compreensão dessas especificidades e está usando uma estratégia direcionada à Coreia do Sul que combina vulnerabilidades em tal software com ataques de watering hole", disse o fornecedor russo de cibersegurança.
A exploração de uma falha de segurança no Innorix Agent para movimento lateral é notável pelo fato de que uma abordagem semelhante também foi adotada pelo sub-cluster Andariel do grupo Lazarus no passado para entregar malware, como Volgmer e Andardoor.
O ponto de partida da última onda de ataques foi um ataque de watering hole, que ativou a implantação do ThreatNeedle após os alvos visitarem vários sites de mídia online sul-coreanos.
Visitantes que chegam aos sites são filtrados usando um script do lado do servidor antes de redirecioná-los para um domínio controlado pelo adversário para servir o malware.
"Avaliamos com confiança média que o site redirecionado pode ter executado um script malicioso, visando uma possível falha no Cross EX instalado no PC alvo e lançando malware", disseram os pesquisadores.
O script então, em última análise, executou o legítimo SyncHost.exe e injetou um shellcode que carregou uma variante do ThreatNeedle naquele processo.
A sequência de infecção foi observada adotando duas fases, usando ThreatNeedle e wAgent nas fases iniciais e então SIGNBT e COPPERHEDGE para estabelecer persistência, conduzindo reconhecimento e entregando ferramentas de dumping de credenciais nos hospedeiros comprometidos.
Também foram implantadas famílias de malware como LPEClient para perfilamento de vítimas e entrega de payload, e um downloader chamado AGAMEMNON para baixar e executar payloads adicionais recebidos do servidor de comando e controle (C2), ao mesmo tempo incorporando a técnica Hell's Gate para burlar soluções de segurança durante a execução.
Um payload baixado por AGAMEMNON é uma ferramenta projetada para realizar movimento lateral explorando uma falha de segurança na ferramenta de transferência de arquivos Innorix Agent.
A Kaspersky disse que sua investigação descobriu uma vulnerabilidade zero-day adicional de download arbitrário de arquivos no Innorix Agent que desde então foi corrigida pelos desenvolvedores.
"Espera-se que os ataques especializados do grupo Lazarus, visando cadeias de suprimentos na Coreia do Sul, continuem no futuro", disse a Kaspersky.
Os atacantes também estão fazendo esforços para minimizar a detecção desenvolvendo novo malware ou aprimorando malware existente.
Em particular, eles introduzem melhorias na comunicação com o C2, estrutura de comando e na maneira como enviam e recebem dados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...