O Centro Nacional de Segurança Cibernética (NCSC) e o Serviço Nacional de Inteligência da Coreia (NIS) alertam que o grupo de hackers Lazarus da Coreia do Norte viola empresas usando uma vulnerabilidade de zero-day no software MagicLine4NX para realizar ataques na cadeia de suprimentos.
MagicLine4NX é um software de autenticação de segurança desenvolvido pela empresa sul-coreana Dream Security, usado para logins seguros em organizações.
De acordo com o comunicado conjunto de segurança cibernética, os atores de ameaças baseados na RDPC exploraram uma vulnerabilidade de zero-day no produto para violar seus alvos, principalmente instituições sul-coreanas.
"Em março de 2023, atores cibernéticos usaram as vulnerabilidades de software de autenticação de segurança e sistemas ligados à rede em série para obter acesso não autorizado à intranet de uma organização alvo", descreve o comunicado.
"Ele usou uma vulnerabilidade de software do programa de autenticação de segurança MagicLine4NX para a intrusão inicial em um computador conectado à internet do alvo e explorou uma vulnerabilidade de zero-day do sistema ligado à rede para se mover lateralmente e obter acesso não autorizado à informação."
O ataque começou ao comprometer o site de um meio de comunicação para incorporar scripts maliciosos em um artigo, permitindo um ataque de 'buraco de água'.
Quando alvos específicos de certos intervalos de IP visitaram o artigo no site comprometido, os scripts executaram um código malicioso para disparar a vulnerabilidade mencionada no software MagicLine4NX, afetando versões anteriores a 1.0.0.26.
Isso resultou no computador da vítima se conectando ao servidor C2 (comando e controle) dos atacantes, permitindo que eles acessassem um servidor do lado da internet explorando uma vulnerabilidade em um sistema ligado à rede.
Usando a função de sincronização de dados deste sistema, os hackers norte-coreanos espalharam um código de roubo de informações para o servidor do lado empresarial, comprometendo PCs dentro da organização alvo.
O código abandonado se conectou a dois servidores C2, um atuando como um gateway no meio e o segundo localizado externamente na internet.
A função do código malicioso inclui reconhecimento, exfiltração de dados, download e execução de payloads criptografados do C2 e movimentação lateral de rede.
Informações detalhadas sobre este ataque, denominado 'Dream Magic' e atribuído a Lazarus, podem ser encontradas neste relatório da AhnLab, disponível apenas em coreano.
As operações de hacking apoiadas pelo estado norte-coreano dependem consistentemente de ataques na cadeia de suprimentos e da exploração de vulnerabilidades de zero-day como parte de suas táticas de guerra cibernética.
Em março de 2023, foi descoberto que "Labyrinth Chollima", um subgrupo de Lazarus, realizou um ataque na cadeia de suprimentos contra o fabricante de software VoIP 3CX para violar várias empresas de alto perfil em todo o mundo.
Na última sexta-feira, a Microsoft divulgou um ataque na cadeia de suprimentos no CyberLink que o grupo de hackers Lazarus usou para distribuir instaladores trojanizados e digitalmente assinados do CyberLink para infectar pelo menos cem computadores com o malware 'LambLoad'.
O grupo de hackers da Coreia do Norte usa esses tipos de ataques para atingir empresas específicas, seja para espionagem cibernética, fraude financeira ou roubo de criptomoedas.
No início deste ano, o Conselho de Segurança Cibernética (CSA) alertou que os fundos roubados nos ataques dos hackers norte-coreanos são usados para financiar as operações do país.
"As agências autoras avaliam que um valor não especificado de receita dessas operações de criptomoedas apoia prioridades e objetivos de nível nacional da RDPC, incluindo operações cibernéticas visando os governos dos Estados Unidos e da Coreia do Sul - alvos específicos incluem Redes de Informação do Departamento de Defesa e redes de membros da Base Industrial de Defesa", lê-se em um comunicado da CISA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...