O grupo hacker conhecido como Lazarus foi rastreado visando a vulnerabilidade Log4Shell (CVE-2021-44228) em uma nova série de ataques apelidada de “Operação Ferreiro”. De acordo com um comunicado publicado pelos pesquisadores de segurança do Cisco Talos, os ataques aproveitaram a falha em servidores VMWare Horizon para acesso inicial.
“Esta campanha consiste em um direcionamento oportunista contínuo de empresas em todo o mundo que hospedam em nuvem pública e expõem sua infraestrutura vulnerável à exploração de vulnerabilidade de “n” dias, como CVE-2021-44228”, diz o comunicado. “Observamos o [grupo] Lázaro mirar empresas dos setores de manufatura, agrícola e segurança física.”
Segundo o relatório, após a exploração bem-sucedida, o Lazarus conduziu um extenso reconhecimento, empregando vários comandos para coletar informações do sistema, consultar logs de eventos e realizar o despejo de credenciais do sistema operacional. Os invasores implantaram um malware personalizado chamado HazyLoad, atuando como uma ferramenta proxy para estabelecer acesso direto ao sistema comprometido.
O grupo Lazarus se desviou dos padrões anteriores criando uma conta de usuário local com privilégios administrativos em vez de usar contas em nível de domínio não autorizadas. Em um desenvolvimento significativo, os operadores da ameaça também mudaram suas táticas na fase prática do teclado, baixando e usando utilitários de despejo de credenciais, incluindo ProcDump e MimiKatz.
Veja isso
Malware do grupo Lazarus tem como alvo software legítimo
Lazarus mira servidores web da Microsoft para espalhar spyware
A segunda fase da operação revelou a implantação de um trojan de acesso remoto (RAT) até então desconhecido apelidado de “NineRAT”. Digno de nota é a utilização pelo RAT do canal de comando e controle (C&C) baseado no Telegram para receber comandos preliminares para impressão digital de sistemas infectados. Além disso, a pesquisa identificou uma mudança nas táticas de Lazarus, já que o NineRAT é escrito em linguagem DLang, indicando um afastamento das estruturas tradicionais. “O NineRAT também tem a capacidade de se desinstalar do sistema usando um arquivo BAT”, acrescentou a empresa.
A Cisco Talos também sugeriu que os dados coletados pelo Lazarus via NineRAT podem ser compartilhados com outros grupos de ameaça persistente avançada (APT), residindo em um repositório separado dos dados de acesso inicial e implantação de implante.Mais detalhes sobre a investigação da Cisco Talos, em inglês, podem ser encontrados neste link.