O grupo cibercriminoso Lazarus é autor de algumas das maiores acções de violação de segurança da última década e não quer parar

O grupo Lazaus não nos é desconhecido. O ataque à Sony picttures Entertainment fez mossa na indústria e na marca, mas o roubo de milhões de dólares em criptomoeda através das casas de câmbio deu-lhes mais visibilidade.

O grupo tem estado mais activo nas passadas semanas e uma equipa da Check Point tem vindo a acompanhar actividades suspeitas direccionadas a empresas sedeadas na Rússia que expuseram uma relação “predador-presa” nunca antes vista.

Tudo sugere um ataque coordenado pela Coreia do Norte contra entidades russas.

Esta descoberta aconteceu enquanto a Check Point realizava a monitorização de diversos documentos Office maliciosos, especificamente desenhados e fabricados para vítimas russas.

Após uma análise mais profunda dos documentos em causa, a equipa US-CERT da Check Point conseguiu perceber que estes correspondiam aos estágios iniciais de uma cadeia de infecção que em última instância conduziria a uma versão actualizada do versátil backdoor Lazarus, apelidado de KEYMARBLE.

Mudança de alvo?

Nota-se uma mudança de paradigma. Geralmente, estes ataques reflectem as tensões geopolíticas entre a República Popular Democrática da Coreia e nações como Estados Unidos, Japão e Coreia do Sul. Mas neste caso, o alvo do ataque são organizações russas.

Na comunidade da segurança acredita-se que o Lazarus está dividido em, pelo menos, duas fações: a primeira, chamada Andariel com foco em atacar primeiramente o governo da Coreia do Sul e as suas organizações; a segunda, chamada Bluenoroff que tem como foco principal a monetização e campanhas de espionagem global.

As diferenças entre estas duas campanhas, postas em prática ao mesmo tempo, permitem comprovar a teoria de que existe mais do que uma divisão a trabalhar em simultâneo.

A Cadeia de infeção

Segundo os investigadores da Check Point, o fluxo principal de infecção neste tipo de ataques acontece com base nos seguintes 3 passos:

  1. Um ficheiro ZIP que contém documentos: um documento PDF benigno e um documento Word malicioso com macros.
  1. As macros maliciosas descarregam um script VBS a partir de um URL de Dropbox, seguindo-se a execução do script VBS.
  1. O script VBS descarrega um ficheiro CAB do servidor da dropzone, extrai o ficheiro EXE embutido (backdoor) usando a funcionalidade “expandir.exe” do Windows, e finalmente executa-o.

No início, a cadeia de infeção segue todos os passos, porém a um determinado momento, os cibercriminosos decidiram saltar a segunda etapa, e as macros maliciosas do Word foram modificadas para “descarregar e executar” directamente o backdoor do Lazarus da terceira etapa.

Para mais informações sobre este ataque, aceda: https://research.checkpoint.com/north-korea-turns-against-russian-targets/

João Gata

Começou em vídeo e cinema, singrou em jornalismo, fez da publicidade a maior parte da vida, ainda editou discos e o primeiro dos livros e, porque o bicho fica sempre, juntou todas estas experiências num blogue.

View all posts

Add comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Analista ao volante do novo Mercedes Classe A

Análises – reviews

Breves

Siga o Xá das 5, um blogue de João Gata