O grupo de hackers norte-coreano Lazarus comprometeu repetidamente um fornecedor de software usando falhas em software vulnerável, apesar de múltiplos patches e alertas serem disponibilizados pelo desenvolvedor.
O fato de Lazarus ter violado a mesma vítima várias vezes indica que os hackers visavam roubar o código-fonte ou tentar um ataque à cadeia de suprimentos.
"Essa violação recorrente sugeriu uma ameaça persistente e determinada com o objetivo provável de roubar o valioso código-fonte ou interferir na cadeia de suprimentos de software, e eles continuaram a explorar vulnerabilidades no software da empresa enquanto miravam em outros criadores de software", explica a Kaspersky.
O ataque foi descoberto pela Kaspersky em julho de 2023, que observou Lazarus empregando uma diversa cadeia de infecção e conjunto de ferramentas pós-compromisso.
A Kaspersky coloca esse ataque dentro do escopo mais amplo de uma campanha em que Lazarus alvejou vários fornecedores de software entre março de 2023 e agosto de 2023.
O relatório menciona que Lazarus visou um software de segurança legítimo usado para a criptografia de comunicações na web. No entanto, o exato método de exploração seguido pelos hackers permanece desconhecido.
A exploração resultou na implementação do malware SIGNBT juntamente com um shellcode usado para injetar o payload na memória para execução furtiva.
A persistência é estabelecida adicionando um DLL malicioso ('ualapi.dll') ao Startup para ser executado por 'spoolsv.exe', ou realizando modificações no registro do Windows.
O arquivo DLL malicioso realiza verificações de ID da vítima antes de descriptografar e carregar o payload SIGNBT de um caminho do sistema de arquivos local para garantir que a infecção prossiga para os alvos pretendidos.
SIGNBT recebe o seu nome a partir das distintas strings que usa para comunicação de comando e controle (C2), enviando informações sobre o sistema comprometido e recebendo comandos para execução.
Os comandos suportados por SIGNBT são:
CCBrush: Lida com funcionalidades como obter informações sobre o sistema, testar conectividade e configurar configurações.
CCList: Gerencia processos, incluindo a obtenção de uma lista de processos em execução, encerrar processos, executar arquivos e manipulações de DLL.
CCComboBox: Trabalha com o sistema de arquivos, como obter listas de drivers, alterar propriedades do arquivo e criar novas pastas.
CCButton: Baixa e carrega arquivos, carrega na memória e captura a tela.
CCBitmap: Implementa comandos e utilitários Windows comumente usados.
SIGNBT pode também buscar payloads adicionais do C2 e implantá-los no host, fornecendo a Lazarus versatilidade operacional.
A Kaspersky viu Lazarus aproveitar esse recurso no SIGNBT para carregar ferramentas de despejo de credenciais e o malware LPEClient em sistemas comprometidos.
LPEClient é um ladrão de informações e carregador de malware em si, que, em suas versões mais recentes, a Kaspersky diz demonstrar evolução significativa em comparação com amostras documentadas anteriormente.
"Agora, ele emprega técnicas avançadas para melhorar sua furtividade e evitar detecção, como desabilitar a conexão syscall do modo de usuário e restaurar seções de memória da biblioteca do sistema", menciona a Kaspersky.
A Kaspersky diz que Lazarus incorpora o LPEClient em outras campanhas que executou em 2023, embora tenha usado o malware em fases anteriores de infecção para injetar outros payloads.
No geral, o grupo Lazarus continua sendo um dos atores de ameaças mais ativos e perigosos, mantendo um amplo alcance de alvo em regiões e indústrias.
Suas ações recentes sublinham suas táticas sofisticadas e objetivos persistentes, enfatizando a necessidade das organizações de atualizar proativamente o software e prevenir a fácil exploração de vulnerabilidades para compromissos iniciais.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...