O famoso ator de ameaças ligado à Coréia do Norte, conhecido como Grupo Lazarus, foi atribuído a uma nova campanha global que envolve a exploração oportunista de falhas de segurança no Log4j para implantar trojans de acesso remoto (RATs) anteriormente não documentados em hosts comprometidos.
A Cisco Talos está rastreando a atividade sob o nome Operation Blacksmith, observando o uso de três famílias de malware baseadas em DLang, incluindo um RAT chamado NineRAT que aproveita o Telegram para comando e controle (C2), DLRAT e um downloader chamado BottomLoader.
A empresa de cibersegurança descreveu as últimas táticas do adversário como uma mudança definitiva e que se sobrepõem ao cluster amplamente rastreado como Andariel (também conhecido como Onyx Sleet ou Silent Chollima), um subgrupo dentro do guarda-chuva Lazarus.
"Andariel geralmente é encarregado de acesso inicial, reconhecimento e estabelecimento de acesso de longo prazo para espionagem em apoio aos interesses nacionais do governo norte-coreano", disseram os pesquisadores da Talos Jung soo An, Asheer Malhotra e Vitor Ventura em um relatório técnico compartilhado com The Hacker News.
Cadeias de ataque envolvem a exploração do
CVE-2021-44228
(também conhecido como Log4Shell) contra servidores VMWare Horizon acessíveis ao público para entregar NineRAT.
Alguns dos setores mais visados incluem manufaturados, agricultura e segurança física.
O abuso do Log4Shell não é surpreendente, dado o fato de que 2,8% das aplicações estão usando versões vulneráveis da biblioteca (de 2.0-beta9 a 2.15.0) após dois anos de divulgação pública, de acordo com Veracode, com outros 3,8% usando o Log4j 2.17.0, que, embora não seja vulnerável ao
CVE-2021-44228
, é suscetível ao CVE-2021-44832.
O NineRAT, desenvolvido pela primeira vez em maio de 2022, teria sido usado já em março de 2023 em um ataque a uma organização agrícola sul-americana, e depois novamente em setembro de 2023 em uma entidade de manufatura europeia.
Ao usar um serviço de mensagens legítimo como o Telegram para comunicações de C2, o objetivo é evadir a detecção.
O malware atua como o principal meio de interação com o endpoint infectado, permitindo aos invasores enviar comandos para reunir informações do sistema, fazer upload de arquivos de interesse, baixar arquivos adicionais e até mesmo desinstalar e atualizar a si mesmo.
"Uma vez ativado, o NineRAT aceita comandos preliminares do canal C2 baseado no telegrama, para novamente fazer a impressão digital dos sistemas infectados", observaram os pesquisadores.
"A repetição da impressão digital de sistemas infectados indica que os dados coletados pelo Lazarus via NineRAT podem ser compartilhados por outros grupos APT e essencialmente residem em um repositório diferente dos dados de impressão digital coletados inicialmente pelo Lazarus durante sua fase inicial de acesso e implantação do implant."
Também usado nos ataques após o reconhecimento inicial é uma ferramenta proxy personalizada chamada HazyLoad que foi identificada anteriormente pela Microsoft como usada pelo ator da ameaça como parte das intrusões que armam falhas de segurança críticas no JetBrains TeamCity (
CVE-2023-42793
, pontuação CVSS: 9.8).
HazyLoad é baixado e executado por meio de outro malware chamado BottomLoader.
Além disso, foi observado que a Operation Blacksmith está entregando o DLRAT, que é ao mesmo tempo um downloader e um RAT equipado para realizar reconhecimento de sistema, implantar malware adicional e recuperar comandos do C2 e executá-los nos sistemas comprometidos.
A Cisco Talos disse ao The Hacker News que "DLRAT é mais uma iteração na tendência do Lazarus, que começou com o MagicRAT, utilizando linguagens e estruturas exóticas/incomuns, juntamente com malware modular para evitar a detecção."
"As várias ferramentas que oferecem entrada backdoor sobreposta fornecem ao Grupo Lazarus redundâncias no caso de uma ferramenta ser descoberta, permitindo acesso altamente persistente", disseram os pesquisadores.
A exploração de Log4Shell por Andariel não é nova, pois a equipe de hackers já usou a vulnerabilidade como um vetor de acesso inicial no passado para entregar um trojan de acesso remoto conhecido como EarlyRat.
A divulgação ocorre enquanto o AhnLab Security Emergency Response Center (ASEC) detalhou o uso de Kimsuky de versões de malware AutoIt como Amadey e RftRAT e sua distribuição via ataques de spear-phishing com anexos e links armadilhados em uma tentativa de contornar produtos de segurança.
Kimusky, também conhecido pelos nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball e Velvet Chollima, é um elemento que opera sob a Bureau Geral de Reconhecimento (RGB) da Coréia do Norte, que também abriga o Grupo Lazarus.
Foi sancionado pelo Departamento do Tesouro dos EUA em 30 de novembro de 2023, por coletar informações de inteligência para apoiar os objetivos estratégicos do regime.
"Após tomar controle do sistema infectado, para exfiltrar informações, o grupo Kimsuky instala vários malwares como keyloggers e ferramentas para extrair contas e cookies de navegadores da web", disse ASEC em uma análise publicada na semana passada.
Também segue a descoberta de uma nova campanha de phishing ligada a Konni que usa um arquivo executável malicioso disfarçado de arquivo Microsoft Word para entregar um backdoor que "recebe comandos ofuscados do ator da ameaça e os executa em formato XML".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...