Pesquisadores de segurança cibernética da ESET descobriram uma nova backdoor (método usado para burlar uma autenticação ou criptografia) implantado pelo grupo de hackers Lazarus para atingir empresas de frete e logística. Chamado de Vyveva, o malware é capaz de executar certas funcionalidades de backdoor, como exfiltrar arquivos, colher informações de um sistema infectado e executar código arbitrário ao se conectar remotamente a um servidor de comando e controle (C&C).
O malware também aproveita conexões TLS falsas para comunicação de rede para se conectar ao servidor de comando e controle através da rede Tor. Embora o Vyveva tenha sido detectado pela primeira vez em junho do ano passado, os pesquisadores afirmaram que o malware poderia estar ativo desde 2018.
Lazarus é um grupo de hackers ligado ao governo da Coreia do Norte, ativo desde 2014 e acusado de vários atos cibercriminosos. Frequentemente, tem como alvo empresas globais com novas cepas de malware, como AppleJeus, Fileless, ThreatNeedle e MATA.
Os pesquisadores da ESET afirmaram que o Vyveva tem semelhanças com o malware NukeSped do Lazarus. Além disso, as funcionalidades de malware, como o uso de TLS falso na comunicação de rede, cadeias de execução de linha de comando e a maneira de usar criptografia e serviços Tor são semelhantes às operações do grupo de hackers.
Veja isso
WannaCry tem forte ligação com grupo Lazarus
Grupo hacker Lazarus volta atacar com nova estrutura de malware
“Nossos dados de telemetria sugerem implantação direcionada, visto que encontramos apenas duas máquinas vítimas, sendo que ambas são servidores de uma empresa de logística de carga localizada na África do Sul. O backdoor apresenta recursos para exfiltração de arquivos, timestomping, coleta de informações sobre o computador da vítima e suas unidades e outras funcionalidades backdoor comuns, como a execução de código arbitrário especificado pelos operadores do malware. Isso indica que a intenção da operação é provavelmente espionagem”, disse o pesquisador de segurança Filip Jurčacko.
Componentes de Vyveva
Até agora, os pesquisadores encontraram três componentes do Vyveva: installer, loader e backdoor. Entre seus vários recursos, a backdoor permite que os invasores alterem a data de qualquer arquivo usando metadados de outros arquivos no sistema ou definindo uma data aleatória entre os anos de 2000 a 2004.
Além disso, o Vyveva usa a biblioteca Tor baseada no código-fonte oficial do Tor para se comunicar com um servidor de comando e controle em intervalos de três minutos. A biblioteca Tor transfere informações sobre o sistema da vítima e suas unidades antes de receber comandos. E a função backdoor exporta o diretório que contém – TorSocket.dll com exportações autoexplicativas close_ch, connect_ch, open_ch, read_ch, write_ch.
“O Vyveva constitui mais uma adição ao extenso arsenal de malware do Lazarus. Atacar uma empresa na África do Sul também ilustra a ampla segmentação geográfica desse grupo”, acrescentou Jurčacko.
Uma ação conjunta recente do FBI, Agência de Segurança Cibernética e de Infraestrutura (CISA) e do Departamento do Tesouro dos Estados Unidos revelou que o grupo Lazarus está usando diferentes tipos de malware AppleJeus para atingir o câmbio de criptomoedas. As agências afirmaram que o grupo desenvolveu sete aplicativos falsos de negociação de criptomoedas (Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio e Ants2Whale) para roubar criptomoedas.
