O infame grupo Lazarus tem como alvo versões vulneráveis dos servidores Microsoft Internet Information Services (IIS) como rota inicial de invasão para implantar malware em sistemas específicos.
As descobertas vêm do Centro de Resposta de Emergência de Segurança da AhnLab (ASEC), que detalhou o uso contínuo de técnicas avançadas de ameaças persistentes (APT) de DLL side-loading para executar payloads arbitrários.
O grupo Lazarus, altamente capaz e implacável, ligado à Coreia do Norte, foi visto mais recentemente aproveitando a mesma técnica em conexão com o ataque em cascata à cadeia de suprimentos ao provedor de serviços de comunicação empresarial 3CX.
A biblioteca DLL maliciosa msvcr100.dll, por sua vez, é projetada para descriptografar um payload codificado que é então executado na memória.
O malware é dito ser uma variante de um artefato semelhante descoberto pela ASEC no ano passado e que atuou como uma porta dos fundos para se comunicar com um servidor controlado pelo ator.
A cadeia de ataque envolveu ainda a exploração de um plugin descontinuado de código aberto Notepad++ chamado Quick Color Picker para entregar malware adicional a fim de facilitar o roubo de credenciais e o movimento lateral.
A última evolução demonstra a diversidade dos ataques do Lazarus e sua capacidade de empregar um conjunto extenso de ferramentas contra as vítimas para realizar operações de espionagem de longo prazo.
"Em particular, uma vez que o grupo de ameaças utiliza principalmente a técnica de DLL side-loading durante suas infiltrações iniciais, as empresas devem monitorar proativamente os relacionamentos anormais de execução de processos e tomar medidas preventivas para impedir que o grupo de ameaças realize atividades como exfiltração de informações e movimento lateral", disse a ASEC.
As descobertas também ocorrem enquanto o Departamento do Tesouro dos EUA sancionou quatro entidades e um indivíduo envolvidos em atividades cibernéticas maliciosas e esquemas de arrecadação de fundos que visam apoiar as prioridades estratégicas da Coreia do Norte.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...