O grupo norte-coreano de ameaças conhecido como Lazarus Group foi observado mudando seu foco e evoluindo rapidamente suas ferramentas e táticas como parte de uma atividade em curso chamada DeathNote.
Embora o adversário do estado-nação seja conhecido por seus ataques persistentes ao setor de criptomoedas, ele também tem como alvo os setores automotivo, acadêmico e de defesa na Europa Oriental e em outras partes do mundo, em um que é percebido como uma "mudança significativa".
"Neste momento, o ator mudou todos os documentos de disfarce para descrições de trabalho relacionadas a empreiteiros de defesa e serviços diplomáticos", disse o pesquisador da Kaspersky Seongsu Park em uma análise publicada na quarta-feira.
A mudança no direcionamento, juntamente com o uso de vetores de infecção atualizados, é dito ter ocorrido em abril de 2020.
Vale ressaltar que o cluster DeathNote também é rastreado sob os apelidos Operation Dream Job ou NukeSped.
A Mandiant, de propriedade do Google, também vinculou um subconjunto da atividade a um grupo que chama UNC2970.
Os ataques de phishing direcionados a empresas de criptografia geralmente envolvem o uso de iscas temáticas de mineração de bitcoin em mensagens de e-mail para atrair possíveis alvos a abrir documentos com macros para soltar a backdoor Manuscrypt (também conhecido como NukeSped) na máquina comprometida.
O direcionamento dos verticais automotivo e acadêmico está ligado aos ataques mais amplos do grupo Lazarus contra a indústria de defesa, como documentado pela empresa russa de cibersegurança em outubro de 2021, levando à implantação do BLINDINGCAN (também conhecido como AIRDRY ou ZetaNile) e implantes COPPERHEDGE.
Em uma cadeia alternativa de ataque, o ator da ameaça empregou uma versão trojanizada de um aplicativo legítimo de leitor de PDF chamado SumatraPDF Reader para iniciar sua rotina maliciosa.
O uso pelo grupo Lazarus de aplicativos de leitor de PDF falsos foi revelado anteriormente pela Microsoft.
Os alvos desses ataques incluíram um fornecedor de solução de monitoramento de ativos de TI sediado na Letônia e um think tank localizado na Coreia do Sul, este último envolveu o abuso de software de segurança legítimo amplamente usado no país para executar as cargas úteis.
Os ataques gêmeos "apontam para a construção de capacidades de ataque de cadeia de suprimentos do Lazarus", observou a Kaspersky na época.
A tripulação adversa desde então foi responsabilizada pelo ataque de cadeia de suprimentos direcionado ao provedor de serviços VoIP empresarial 3CX que veio à tona no mês passado.
A Kaspersky disse ter descoberto outro ataque em março de 2022 que visava vários alvos na Coreia do Sul, explorando o mesmo software de segurança para entregar malware de download capaz de entregar uma backdoor, bem como um ladrão de informações para coletar dados do teclado e da área de transferência.
"A nova backdoor implantada é capaz de executar uma carga útil recuperada com comunicação de pipe nomeada", disse Park, acrescentando que ela também é "responsável por coletar e relatar as informações da vítima".
Ao mesmo tempo, a mesma backdoor teria sido utilizada para violar um empreiteiro de defesa na América Latina usando técnicas de carregamento lateral de DLL ao abrir um arquivo PDF especialmente criado usando um leitor de PDF trojanizado.
O grupo Lazarus também foi associado a uma violação bem-sucedida de outro empreiteiro de defesa na África em julho passado, na qual uma "aplicação PDF suspeita" foi enviada pelo Skype para soltar uma variante de uma backdoor chamada ThreatNeedle e outro implante conhecido como ForestTiger para exfiltrar dados.
"O grupo Lazarus é um ator de ameaça notório e altamente habilidoso", disse Park.
"À medida que o grupo Lazarus continua a refinar suas abordagens, é crucial para as organizações manter a vigilância e tomar medidas proativas para se defender contra suas atividades maliciosas".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...