Uma campanha maliciosa conduzida pelo grupo norte-coreano Lazarus afetou fornecedores de energia em todo o mundo entre fevereiro e julho deste ano. A campanha foi divulgada parcialmente pela Symantec e AhnLab em abril e maio, respectivamente, mas a Cisco Talos agora está fornecendo mais detalhes sobre o ataque.
Em um comunicado à imprensa, divulgado na quinta-feira passada, 8, os pesquisadores de segurança disseram que a campanha envolveu a exploração de vulnerabilidades no VMware Horizon para obter acesso inicial às organizações-alvo. “O vetor inicial foi a exploração da vulnerabilidade Log4j em servidores VMware Horizon expostos. A pós-exploração bem-sucedida levou ao download de seu kit de ferramentas de servidores web”, escreveu a equipe. “Na maioria dos casos, os invasores instrumentaram o shell reverso para criar suas próprias contas de usuário nos terminais aos quais tiveram acesso inicial.”
Veja isso
Grupo Lazarus usa o Windows Update para infectar PCs
Lazarus adquire capacidade de ataque à cadeia de suprimentos
Em termos das ferramentas usadas nesses ataques, a Cisco Talos disse que descobriu o uso de duas famílias de malware conhecidas, a VSingle e a YamaBot, juntamente com a implantação de um trojan de acesso remoto (RAT) que eles chamaram de MagicRAT. “Depois que as backdoors e os implantes persistiram e foram ativados no endpoint, o shell reverso usado para realizar a limpeza excluiu todos os arquivos na pasta de infecção junto com o encerramento das tarefas do PowerShell”, explicou a empresa. “As contas criadas pelo invasor foram removidas e, finalmente, os logs de eventos do Windows, eliminados.”
De acordo com a Cisco Talos, as organizações visadas nos recentes ataques do Lazarus incluíam fornecedores de energia de diferentes países, incluindo EUA, Canadá e Japão.
“A campanha destina-se a se infiltrar em organizações em todo o mundo para estabelecer acesso de longo prazo e, posteriormente, exfiltrar dados de interesse do estado-nação do adversário”, diz o artigo técnico.