blockchain-3944194_1280.jpg

Lazarus adquire capacidade de ataque à cadeia de suprimentos

Grupo hacker usa estrutura de malware multiplataforma MATA para atacar organizações de defesa
Da Redação
28/10/2021

O grupo norte-coreano de ameaças persistentes avançadas (APT) Lazarus — também conhecido como Hidden Cobra — está desenvolvendo capacidades de ataque à cadeia de suprimentos usando a estrutura de malware multiplataforma MATA, normalmente utilizada para espionagem cibernética, de acordo com pesquisadores da Kaspersky.

Os pesquisadores verificaram que, em junho, o grupo estava usando a estrutura MATA — que pode atacar os sistemas operacionais Windows, Linux e MacOS — para atingir a indústria de defesa de vários países. A estrutura MATA, na verdade, vem sendo usada para disseminar cargas úteis de malware desde 2019.

Esta, aliás, não é a primeira vez que o Lazarus ataca a indústria de defesa. Sua campanha anterior do ThreatNeedle foi realizada de forma semelhante em meados de 2020, observam os pesquisadores da Kaspersky no resumo trimestral de inteligência de ameaças da empresa.

Nos últimos anos, o Lazarus esteve vinculado a uma série de cibercrimes financeiros e campanhas de espionagem cibernética destinadas a beneficiar o governo norte-coreano. Em junho, segundo os pesquisadores da Kaspersky, o grupo hacker teria usado backdoors BlindingCan e CopperHedge para atacar um think tank na Coréia do Sul.

Durante a pesquisa inicial da CopperHedge, os pesquisadores encontraram o Lazarus usando um downloader chamado Racket, que o grupo assinou usando um certificado roubado e servidores web vulneráveis ​​comprometidos. Os hackers então carregaram vários scripts para filtrar e controlar os “implantes” maliciosos em máquinas violadas com sucesso, dizem os pesquisadores.

O pesquisador de segurança sênior da equipe de análise e pesquisa global da Kaspersky, Ariel Jungheit, disse que os desenvolvimentos recentes destacam duas coisas: o Lazarus continua interessado na indústria de defesa e está procurando expandir suas capacidades com ataques à cadeia de suprimentos.

Segundo ele, o grupo não é o único visto usando ataques à cadeia de suprimentos. No último trimestre, a equipe da Kaspersky também rastreou ataques realizados pelo SmudgeX e BountyGlad. “Quando realizados com sucesso, os ataques à cadeia de suprimentos podem causar resultados devastadores, afetando muito mais de uma organização, algo que vimos claramente com o ataque da SolarWinds no ano passado. Com os operadores da ameaça investindo em tais capacidades, precisamos permanecer vigilantes e concentrar os esforços de defesa nessa frente”, observa Jungheit.

Histórico de grandes ataques

O grupo Lazarus é vinculado a vários ataques de alto perfil. Ele esteve supostamente por trás do WannaCry em 2017, do roubo de US$ 81 milhões de um banco de Bangladesh e do ataque à Sony Pictures em 2014.

Em fevereiro, um relatório da Kaspersky apontava que o Lazarus estava conduzindo uma campanha contra alvos da indústria de defesa em mais de uma dezena de países usando a backdoor ThreatNeedle, que se move lateralmente através das redes e supera até mesmo a segmentação da rede.

Em março, o grupo começou a implantar o ransomware TFlower, usando a estrutura MATA. A implantação levantou a suspeita de que o grupo esteja por trás do TFlower ou tenha algum nível de colaboração com os operadores do ransomware.

Para alguns pesquisadores, o grupo pode estar se mascarando como TFlower para que suas operações de ransomware sejam mais difíceis de rastrear.No passado, o governo dos Estados Unidos emitiu avisos frequentes sobre hackers patrocinados pela Coréia do Norte e publicou dados sobre quase 30 variantes de ransomware associadas a grupos de hackers suspeitos de trabalhar com o regime norte-coreano.

Compartilhar:

Últimas Notícias