O Grupo Lazarus se faz passar por recrutador da Meta para atacar a empresa de aeroespacial espanhola
10 de Outubro de 2023

O grupo Lazarus, ligado à Coreia do Norte, tem sido associado a um ataque de espionagem cibernética que visou uma empresa aeroespacial não identificada na Espanha, onde os empregados da empresa foram abordados pelo responsável pela ameaça se passando por um recrutador da Meta.

"Os funcionários da empresa alvo foram contatados por um recrutador falso via LinkedIn e induzidos a abrir um arquivo executável malicioso apresentando-se como um desafio de codificação ou teste", disse o pesquisador de segurança da ESET, Peter Kálnai, em um relatório técnico compartilhado com o The Hacker News.

O ataque faz parte de uma longa campanha de spear-phishing chamada Operação Emprego dos Sonhos, orquestrada pela equipe de hackers na tentativa de atrair funcionários que trabalham em alvos em potencial de interesse estratégico, seduzindo-os com ofertas de emprego lucrativas para ativar a cadeia de infecção.

Em março deste ano, a empresa de segurança cibernética eslovaca detalhou uma onda de ataques direcionada a usuários Linux envolvendo o uso de ofertas de emprego falsas do HSBC para lançar um backdoor chamado SimplexTea.

O objetivo final da última intrusão, projetada para sistemas Windows, é o implementação de um implante codinome LightlessCan.

"O aspecto mais preocupante do ataque é o novo tipo de payload, LightlessCan, uma ferramenta complexa e possivelmente em evolução que apresenta um alto grau de sofisticação em seu design e operação, e representa um avanço significativo nas capacidades maliciosas em comparação com seu antecessor, BLINDINGCAN", disse Kálnai.

BLINDINGCAN, também conhecido pelo nome AIRDRY ou ZetaNile, é um malware recheado de recursos capaz de colher informações sensíveis de hosts infiltrados.

Tudo começou com o alvo recebendo uma mensagem no LinkedIn de um recrutador falso trabalhando para a Meta Platforms, que então enviou dois desafios de codificação como parte do suposto processo de contratação e convenceu a vítima a executar os arquivos de teste (denominados Quiz1.iso e Quiz2.iso) hospedados em uma plataforma de armazenamento em nuvem de terceiros.
A ESET disse que os arquivos ISO, que continham os binários maliciosos Quiz1.exe e Quiz2.exe, foram baixados e executados em um dispositivo fornecido pela empresa, resultando efetivamente no auto-comprometimento do sistema e na violação da rede corporativa.

O ataque abre caminho para um carregador HTTP(S) referido como NickelLoader, que permite aos invasores implantarem qualquer programa desejado na memória do computador da vítima, incluindo o trojan de acesso remoto LightlessCan e uma variante do BLINDINGCAN referida como miniBlindingCan (também conhecido como AIRDRY.V2).

O LightlessCan vem equipado com suporte para até 68 comandos distintos, embora em sua versão atual, apenas 43 desses comandos são implementados com alguma funcionalidade.

A principal responsabilidade do miniBlindingCan é transmitir informações do sistema e baixar arquivos retirados de um servidor remoto, entre outros.

Um traço notável da campanha é o uso de proteções de execução para impedir que os payloads sejam descriptografados e executados em qualquer outra máquina que não seja a da vítima pretendida.

"LightlessCan imita as funcionalidades de uma ampla gama de comandos nativos do Windows, permitindo a execução discreta dentro do próprio RAT em vez de execuções de console barulhentas", disse Kálnai.

"Essa mudança estratégica aumenta a furtividade, tornando a detecção e análise das atividades do invasor mais desafiadoras."

O grupo Lazarus e outros agrupamentos de ameaças originários da Coreia do Norte têm sido prolíficos nos últimos meses, realizando ataques que abrangem os setores de manufatura e imobiliário na Índia, empresas de telecomunicações no Paquistão e na Bulgária, e contratados do governo, pesquisa e defesa na Europa, Japão e EUA., de acordo com a Kaspersky.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...