Reino Unido e Coreia do Sul: Hackers usam zero-day em ataque à cadeia de suprimentos
27 de Novembro de 2023

O Centro Nacional de Segurança Cibernética (NCSC) e o Serviço Nacional de Inteligência da Coreia (NIS) alertam que o grupo de hackers Lazarus da Coreia do Norte viola empresas usando uma vulnerabilidade de zero-day no software MagicLine4NX para realizar ataques na cadeia de suprimentos.

MagicLine4NX é um software de autenticação de segurança desenvolvido pela empresa sul-coreana Dream Security, usado para logins seguros em organizações.

De acordo com o comunicado conjunto de segurança cibernética, os atores de ameaças baseados na RDPC exploraram uma vulnerabilidade de zero-day no produto para violar seus alvos, principalmente instituições sul-coreanas.

"Em março de 2023, atores cibernéticos usaram as vulnerabilidades de software de autenticação de segurança e sistemas ligados à rede em série para obter acesso não autorizado à intranet de uma organização alvo", descreve o comunicado.

"Ele usou uma vulnerabilidade de software do programa de autenticação de segurança MagicLine4NX para a intrusão inicial em um computador conectado à internet do alvo e explorou uma vulnerabilidade de zero-day do sistema ligado à rede para se mover lateralmente e obter acesso não autorizado à informação."

O ataque começou ao comprometer o site de um meio de comunicação para incorporar scripts maliciosos em um artigo, permitindo um ataque de 'buraco de água'.

Quando alvos específicos de certos intervalos de IP visitaram o artigo no site comprometido, os scripts executaram um código malicioso para disparar a vulnerabilidade mencionada no software MagicLine4NX, afetando versões anteriores a 1.0.0.26.

Isso resultou no computador da vítima se conectando ao servidor C2 (comando e controle) dos atacantes, permitindo que eles acessassem um servidor do lado da internet explorando uma vulnerabilidade em um sistema ligado à rede.

Usando a função de sincronização de dados deste sistema, os hackers norte-coreanos espalharam um código de roubo de informações para o servidor do lado empresarial, comprometendo PCs dentro da organização alvo.

O código abandonado se conectou a dois servidores C2, um atuando como um gateway no meio e o segundo localizado externamente na internet.

A função do código malicioso inclui reconhecimento, exfiltração de dados, download e execução de payloads criptografados do C2 e movimentação lateral de rede.

Informações detalhadas sobre este ataque, denominado 'Dream Magic' e atribuído a Lazarus, podem ser encontradas neste relatório da AhnLab, disponível apenas em coreano.

As operações de hacking apoiadas pelo estado norte-coreano dependem consistentemente de ataques na cadeia de suprimentos e da exploração de vulnerabilidades de zero-day como parte de suas táticas de guerra cibernética.

Em março de 2023, foi descoberto que "Labyrinth Chollima", um subgrupo de Lazarus, realizou um ataque na cadeia de suprimentos contra o fabricante de software VoIP 3CX para violar várias empresas de alto perfil em todo o mundo.

Na última sexta-feira, a Microsoft divulgou um ataque na cadeia de suprimentos no CyberLink que o grupo de hackers Lazarus usou para distribuir instaladores trojanizados e digitalmente assinados do CyberLink para infectar pelo menos cem computadores com o malware 'LambLoad'.

O grupo de hackers da Coreia do Norte usa esses tipos de ataques para atingir empresas específicas, seja para espionagem cibernética, fraude financeira ou roubo de criptomoedas.

No início deste ano, o Conselho de Segurança Cibernética (CSA) alertou que os fundos roubados nos ataques dos hackers norte-coreanos são usados para financiar as operações do país.

"As agências autoras avaliam que um valor não especificado de receita dessas operações de criptomoedas apoia prioridades e objetivos de nível nacional da RDPC, incluindo operações cibernéticas visando os governos dos Estados Unidos e da Coreia do Sul - alvos específicos incluem Redes de Informação do Departamento de Defesa e redes de membros da Base Industrial de Defesa", lê-se em um comunicado da CISA.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...