Grupo Lazarus, da Coreia do Norte, comprometeu três empresas europeias do setor de defesa por meio da campanha coordenada “Operation DreamJob”, que utiliza falsas ofertas de emprego como isca.
A atividade dessa ameaça foi detectada no final de março e teve como alvo organizações envolvidas no desenvolvimento de tecnologia para veículos aéreos não tripulados (UAVs).
A “Operation DreamJob” é uma campanha antiga do Lazarus, na qual os hackers se passam por recrutadores de grandes empresas — reais ou fictícias — para abordar funcionários de organizações de interesse com ofertas de vagas de alto nível.
Os alvos acabam baixando arquivos maliciosos que permitem aos hackers acesso aos sistemas das companhias vítimas.
Essa tática já foi empregada contra empresas de criptomoedas e DeFi, desenvolvedores de software, jornalistas, pesquisadores de segurança e também contra o setor de defesa, incluindo a indústria aeroespacial.
Segundo pesquisadores da empresa de cibersegurança ESET, na operação mais recente que analisaram, o Lazarus focou em tecnologia relacionada a UAVs, alinhando-se a desenvolvimentos geopolíticos atuais e ao esforço crescente da Coreia do Norte para montar um arsenal de drones “inspirado” em projetos ocidentais.
A ESET observou que, no final de março, os ataques in the wild da Operation DreamJob tiveram como alvo, sucessivamente, uma empresa de engenharia metálica no sudeste da Europa, uma fabricante de peças para aeronaves e uma empresa de defesa, ambas na Europa Central.
A empresa de segurança não revelou detalhes sobre o grau de sucesso dos hackers ao atingir essas três organizações.
Todas são fabricantes de equipamentos militares que estão sendo utilizados na Ucrânia como parte da assistência militar fornecida por seus países.
Dessas, duas estão diretamente envolvidas no desenvolvimento de tecnologia para UAVs, sendo que uma produz componentes críticos para drones e a outra está envolvida no design de softwares relacionados a UAVs.
Ao analisar a cadeia de infecção, os pesquisadores constataram que o ataque começa quando a vítima executa uma aplicação ou plugin open-source trojanizado, como visualizador MuPDF, Notepad++, plugins do WinMerge, TightVNC Viewer, libpcre e wrappers DirectX.
A carga maliciosa é carregada via DLL sideloading, técnica de evasão que utiliza um software legítimo, porém vulnerável, para carregar o payload malicioso.
Na etapa seguinte, o payload é descriptografado e carregado diretamente na memória por meio de rotinas do tipo MemoryModule.
O malware na fase final é o ScoringMathTea RAT (Remote Access Trojan), que estabelece comunicação com a infraestrutura de comando e controle (C2) e aguarda instruções.
Em uma cadeia alternativa de infecção, um loader chamado BinMergeLoader (MISTPEN) é usado no lugar do RAT, abusando da Microsoft Graph API e tokens para buscar cargas adicionais.
O ScoringMathTea RAT, documentado pela primeira vez em 2023, suporta 40 comandos na sua versão mais recente, oferecendo ampla versatilidade operacional, desde a execução de comandos até o download de novos malwares.
“A funcionalidade implementada é típica do Lazarus: manipulação de arquivos e processos, troca de configurações, coleta de informações do sistema da vítima, abertura de conexões TCP e execução de comandos locais ou novos payloads vindos do servidor C2”, explica a ESET.
Apesar de a “Operation DreamJob” ter seu modus operandi e iscas de engenharia social amplamente expostos em relatórios, a ESET destaca que essa tática continua sendo muito eficaz para os atores de ameaça norte-coreanos.
A ESET disponibiliza um conjunto detalhado de indicadores de comprometimento (IoCs) relacionados aos domínios e ferramentas maliciosas usados pelo Lazarus na campanha DreamJob contra organizações europeias do setor de defesa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...