Hackers do Lazarus violaram repetidamente o desenvolvedor para implantar o malware SIGNBT.
30 de Outubro de 2023

O grupo de hackers norte-coreano Lazarus comprometeu repetidamente um fornecedor de software usando falhas em software vulnerável, apesar de múltiplos patches e alertas serem disponibilizados pelo desenvolvedor.

O fato de Lazarus ter violado a mesma vítima várias vezes indica que os hackers visavam roubar o código-fonte ou tentar um ataque à cadeia de suprimentos.

"Essa violação recorrente sugeriu uma ameaça persistente e determinada com o objetivo provável de roubar o valioso código-fonte ou interferir na cadeia de suprimentos de software, e eles continuaram a explorar vulnerabilidades no software da empresa enquanto miravam em outros criadores de software", explica a Kaspersky.

O ataque foi descoberto pela Kaspersky em julho de 2023, que observou Lazarus empregando uma diversa cadeia de infecção e conjunto de ferramentas pós-compromisso.

A Kaspersky coloca esse ataque dentro do escopo mais amplo de uma campanha em que Lazarus alvejou vários fornecedores de software entre março de 2023 e agosto de 2023.

O relatório menciona que Lazarus visou um software de segurança legítimo usado para a criptografia de comunicações na web. No entanto, o exato método de exploração seguido pelos hackers permanece desconhecido.

A exploração resultou na implementação do malware SIGNBT juntamente com um shellcode usado para injetar o payload na memória para execução furtiva.

A persistência é estabelecida adicionando um DLL malicioso ('ualapi.dll') ao Startup para ser executado por 'spoolsv.exe', ou realizando modificações no registro do Windows.

O arquivo DLL malicioso realiza verificações de ID da vítima antes de descriptografar e carregar o payload SIGNBT de um caminho do sistema de arquivos local para garantir que a infecção prossiga para os alvos pretendidos.

SIGNBT recebe o seu nome a partir das distintas strings que usa para comunicação de comando e controle (C2), enviando informações sobre o sistema comprometido e recebendo comandos para execução.

Os comandos suportados por SIGNBT são:

CCBrush: Lida com funcionalidades como obter informações sobre o sistema, testar conectividade e configurar configurações.

CCList: Gerencia processos, incluindo a obtenção de uma lista de processos em execução, encerrar processos, executar arquivos e manipulações de DLL.

CCComboBox: Trabalha com o sistema de arquivos, como obter listas de drivers, alterar propriedades do arquivo e criar novas pastas.

CCButton: Baixa e carrega arquivos, carrega na memória e captura a tela.

CCBitmap: Implementa comandos e utilitários Windows comumente usados.


SIGNBT pode também buscar payloads adicionais do C2 e implantá-los no host, fornecendo a Lazarus versatilidade operacional.

A Kaspersky viu Lazarus aproveitar esse recurso no SIGNBT para carregar ferramentas de despejo de credenciais e o malware LPEClient em sistemas comprometidos.

LPEClient é um ladrão de informações e carregador de malware em si, que, em suas versões mais recentes, a Kaspersky diz demonstrar evolução significativa em comparação com amostras documentadas anteriormente.

"Agora, ele emprega técnicas avançadas para melhorar sua furtividade e evitar detecção, como desabilitar a conexão syscall do modo de usuário e restaurar seções de memória da biblioteca do sistema", menciona a Kaspersky.

A Kaspersky diz que Lazarus incorpora o LPEClient em outras campanhas que executou em 2023, embora tenha usado o malware em fases anteriores de infecção para injetar outros payloads.

No geral, o grupo Lazarus continua sendo um dos atores de ameaças mais ativos e perigosos, mantendo um amplo alcance de alvo em regiões e indústrias.

Suas ações recentes sublinham suas táticas sofisticadas e objetivos persistentes, enfatizando a necessidade das organizações de atualizar proativamente o software e prevenir a fácil exploração de vulnerabilidades para compromissos iniciais.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...