Hackers norte-coreanos miram Brasil
14 de Junho de 2024

Atividades de ameaça vinculadas à Coreia do Norte foram responsáveis por um terço de toda a atividade de phishing visando o Brasil desde 2020, conforme o país emerge como uma potência influente e atrai a atenção de grupos de espionagem cibernética.

"Atores apoiados pelo governo norte-coreano têm como alvo o governo brasileiro e os setores aeroespacial, tecnológico e de serviços financeiros do Brasil", disseram as divisões Mandiant e Threat Analysis Group (TAG) do Google em um relatório conjunto publicado esta semana.

De forma semelhante aos seus interesses de ataque em outras regiões, empresas de criptomoedas e tecnologia financeira têm sido um foco particular, e pelo menos três grupos norte-coreanos têm como alvo empresas brasileiras de criptomoedas e fintech.

Dentre esses grupos, destaca-se um ator de ameaça monitorado como UNC4899 (também conhecido como Jade Sleet, PUKCHONG e TraderTraitor), que tem como alvo profissionais de criptomoedas com um aplicativo Python trojanizado contendo malware.

As cadeias de ataque envolvem o contato com possíveis alvos por meio de redes sociais e o envio de um documento PDF inofensivo contendo uma descrição de emprego para uma suposta oportunidade de trabalho em uma empresa de criptomoedas conhecida.

Se o alvo demonstrar interesse na oferta de emprego, o ator de ameaça faz o acompanhamento enviando um segundo documento PDF inofensivo com um questionário de habilidades e instruções para completar uma tarefa de codificação, baixando um projeto do GitHub.

"O projeto era um aplicativo Python trojanizado para recuperar preços de criptomoedas que foi modificado para se conectar a um domínio controlado pelo atacante para recuperar um payload de segunda fase, se condições específicas fossem atendidas", disseram os pesquisadores da Mandiant e TAG.

Essa não é a primeira vez que o UNC4899, que foi atribuído ao hack do JumpCloud em 2023, utilizou essa abordagem.

Em julho de 2023, o GitHub alertou sobre um ataque de engenharia social que buscava enganar funcionários de empresas de blockchain, criptomoedas, apostas online e cibersegurança para executar código hospedado em um repositório do GitHub usando pacotes npm falsos.

Campanhas de engenharia social com temas de emprego são um tema recorrente entre os grupos de hacking norte-coreanos, com a gigante da tecnologia também identificando uma campanha orquestrada por um grupo que ela monitora como PAEKTUSAN para entregar um malware downloader em C++ conhecido como AGAMEMNON via anexos do Microsoft Word embutidos em emails de phishing.

"Em um exemplo, PAEKTUSAN criou uma conta se passando por um diretor de RH de uma empresa aeroespacial brasileira e a usou para enviar emails de phishing a funcionários de uma segunda empresa aeroespacial brasileira", observaram os pesquisadores, acrescentando que as campanhas são consistentes com uma atividade de longa data monitorada como Operation Dream Job.

Em uma campanha separada, PAEKTUSAN se disfarçou como um recrutador de uma importante empresa aeroespacial dos EUA e entrou em contato com profissionais no Brasil e em outras regiões por e-mail e redes sociais sobre oportunidades de emprego em perspectiva.

O Google ainda disse que bloqueou tentativas de outro grupo norte-coreano chamado PRONTO de mirar em diplomatas com iscas relacionadas à desnuclearização e notícias para enganá-los a visitar páginas de captura de credenciais ou fornecer suas informações de login para visualizar um suposto documento em PDF.

O desenvolvimento ocorre semanas após a Microsoft lançar luz sobre um ator de ameaça anteriormente não documentado de origem norte-coreana, codinomeado Moonstone Sleet, que tem como alvo indivíduos e organizações nos setores de software e tecnologia da informação, educação e base industrial de defesa com ataques de ransomware e espionagem.

Entre as táticas notáveis ​​do Moonstone Sleet está a distribuição de malware por meio de pacotes npm falsificados publicados no registro npm, espelhando o de UNC4899.

Dito isto, os pacotes associados às duas clusters têm estilos de código e estruturas distintos.

"Os pacotes de Jade Sleet, descobertos ao longo do verão de 2023, foram projetados para funcionar em pares, com cada par sendo publicado por uma conta de usuário npm separada para distribuir sua funcionalidade maliciosa", disseram os pesquisadores da Checkmarx, Tzachi Zornstein e Yehuda Gelb.

"Em contraste, os pacotes publicados no final de 2023 e início de 2024 adotaram uma abordagem de pacote único mais eficiente, que executaria seu payload imediatamente após a instalação.

No segundo trimestre de 2024, os pacotes aumentaram em complexidade, com os atacantes adicionando ofuscação e visando sistemas Linux também." Apesar das diferenças, a tática abusa da confiança que os usuários depositam em repositórios de código aberto, permitindo que os atores de ameaça alcancem um público mais amplo e aumentando a probabilidade de um de seus pacotes maliciosos ser instalado inadvertidamente por desenvolvedores desavisados.

A divulgação é significativa, não apenas porque marca uma expansão do mecanismo de distribuição de malware do Moonstone Sleet, que anteriormente contava com a propagação dos pacotes npm falsos usando LinkedIn e sites de freelancers.

As descobertas também seguem a descoberta de uma nova campanha de engenharia social realizada pelo grupo vinculado à Coreia do Norte Kimsuky, onde ele se passou pela agência de notícias Reuters para alvejar ativistas dos direitos humanos coreanos para entregar malware de roubo de informações sob o pretexto de um pedido de entrevista, de acordo com a Genians.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...