Pesquisadores de segurança da F-Secure alertam às organizações para que melhorem as equipes de detecção e resposta a incidentes em razão de um novo ataque do grupo hacker norte-coreano Lazarus que conseguiu contornar uma ferramenta de segurança de rede e EDR (endpoint detection and response), tecnologia que monitora e responde continuamente para mitigar ameaças cibernéticas, em uma empresa de criptomoeda.
O relatório de inteligência detalha um ataque que ocorreu no ano passado como parte da campanha mais ampla do grupo patrocinado pelo governo norte-coreano contra empresas de criptomoedas. Ativos desde 2018, os invasores provavelmente usaram os mesmos artefatos em pelo menos 14 países: Estados Unidos, China, Reino Unido, Canadá, Alemanha, Rússia, Coreia do Sul, Argentina, Cingapura, Hong Kong, Holanda, Estônia, Japão e Filipinas.
O Lazarus investiu “esforço significativo” para contornar as defesas cibernéticas da empresa de criptomoeda, como desabilitar o antivírus em hosts comprometidos e remover evidências de implantes maliciosos. No entanto, essas ações foram “ruidosas” em si mesmas e serviram como sinais claros de que deveriam ter sido percebidas, diz a F-Secure.
Veja isso
Grupo hacker Lazarus volta atacar com nova estrutura de malware
WannaCry tem forte ligação com grupo Lazarus
O grupo também usou utilitários de sistema operacional nativos para se misturar à atividade padrão, mas novamente “os elementos dos comandos usados costumam ser anômalos e usam sequências ‘esotéricas’ específicas que oferecem oportunidades de detecção”, ressalta a F-Secure. “Esses comandos podem se misturar com a atividade padrão, então pode não ser possível construir uma detecção de extrema fidelidade para todas as técnicas usadas”, observa o relatório.
Nessa situação, acrescenta o documento, o uso de detecções de baixa fidelidade que são então agregadas em uma base de host para correlacionar a atividade e construir um limite inteligente para sistemas de alerta pode ajudar a detectar atividades maliciosas sem gerar muitos falsos positivos.
Na verdade, o Lazarus tem usado a mesma família de ferramentas observada em 2016. Ainda é eficaz por causa dessas técnicas de ocultação, embora ofereça mais oportunidades de detecção.
A F-Secure concluiu que detecção e resposta eficazes não se referem apenas a ter as ferramentas certas, mas também aos usuários que sabem o que procurar. “O alvo nessa investigação tinha uma ferramenta de EDR e segurança de rede instalada que capturou a telemetria das ações do Lazarus, mas isso não resultou em uma detecção positiva”, observa o relatório.
A opinião da F-Secure é que as pessoas desempenham um papel importante na construção de capacidade de detecção eficaz, e este incidente serve como um exemplo da necessidade de investir em pessoas, bem como em tecnologia.
