A equipe de pesquisa e análise da Kaspersky (GReAT) identificou uma série de incidentes cibernéticos em que os alvos foram infectados por meio de software legítimo projetado para criptografar comunicações na web usando certificados digitais.
Apesar de os patches estarem disponíveis para vulnerabilidades, organizações em todo o mundo continuaram a usar o software falho (sem nome), fornecendo inadvertidamente um ponto de entrada para o grupo hacker Lazarus. O grupo mostrou um alto nível de sofisticação, usando técnicas avançadas de evasão e implantando malware “SIGNBT” para controlar as máquinas das vítimas. Eles também implantaram a ferramenta LPEClient, anteriormente observada visando empreiteiras de defesa, engenheiros nucleares e o setor de criptomoedas.
As descobertas dos pesquisadores sugerem que as táticas do grupo Lazarus nesta campanha se alinham com as vistas no notório ataque à cadeia de suprimentos 3CX.
A investigação também revelou que a vítima inicial, um fornecedor de software, foi alvo várias vezes, indicando um operador de ameaça determinado e focado. Essa persistência implica uma intenção de roubar código-fonte crítico ou interromper a cadeia de suprimentos de software.
Veja isso
Grupo Lazarus mira macOS em ataque à cadeia de suprimentos
Lazarus invade ManageEngine para hackear provedor de internet
A solução Endpoint Security da Kaspersky teria identificado e impedido novos ataques contra outros alvos. “A atividade contínua do grupo Lazarus é uma prova de suas capacidades avançadas e motivação inabalável”, disse Seongsu Park, pesquisador-chefe de segurança do GReAT da Kaspersky. “Eles operam em escala global, visando uma ampla gama de indústrias com um conjunto diversificado de métodos. Isso significa uma ameaça contínua e em evolução que exige maior vigilância.”
Em resposta a essas descobertas, a Kaspersky recomendou várias medidas para mitigar o risco de ataques direcionados. Isso inclui manter o software e as medidas de segurança atualizados, verificar a identidade dos remetentes nas comunicações, fornecer às equipes de segurança a mais recente inteligência sobre ameaças, qualificar o pessoal de segurança cibernética com treinamento online e implementar soluções de detecção e resposta de endpoint.
Para ter acesso ao relatório completo, em inglês, da Kaspersky clique aqui.
