Pesquisadores da WithSecure descobriram uma campanha de ataque cibernético vinculada ao notório Lazarus Group da Coreia do Norte.
É extremamente raro conseguir vincular uma campanha tão fortemente a um perpetrador como o WithSecure conseguiu fazer aqui. Os hackers têm como alvo pesquisas médicas e organizações de energia com a intenção de cometer espionagem.
Os alvos incluem uma organização de pesquisa em saúde, um fabricante de tecnologia usada nos setores de energia, pesquisa, defesa e saúde, bem como como o departamento de engenharia química de uma importante universidade de pesquisa.
Existem vários elementos interessantes nesta campanha em comparação com a atividade anterior do Lazarus. Isso inclui o uso de nova infraestrutura, com a dependência exclusiva de endereços IP sem nomes de domínio (diferente dos ataques anteriores).
Há também uma versão modificada do malware de roubo de informações Dtrack usado pelo Lazarus Group e Kimsuky–outro grupo associado à Coreia do Norte–em ataques anteriores, juntamente com uma nova versão do GREASE–malware que permite aos invasores criar novas contas de administrador com privilégios de protocolo de área de trabalho remota que contornam os firewalls.
“Embora inicialmente se suspeitasse que fosse uma tentativa de ataque de ransomware BianLian, as evidências que coletamos rapidamente apontavam em uma direção diferente. E conforme coletamos mais evidências, ficamos mais confiantes de que o ataque foi conduzido por um grupo ligado ao governo norte-coreano, eventualmente levando-nos a concluir com confiança que era o Lazarus Group”, diz o pesquisador sênior de inteligência de ameaças da WithSecure, Sami Ruohonen.
O ataque foi identificado em parte devido a um erro em que os invasores usaram brevemente um dos menos de mil endereços IP pertencentes à Coreia do Norte.
Mas o chefe de inteligência de ameaças da WithSecure, Tim West, diz que isso não é motivo para complacência:”Apesar da opsec falhar, o ator demonstrou bom tradecraft e ainda conseguiu executar ações consideradas em endpoints cuidadosamente selecionados. Mesmo com tecnologias precisas de detecção de endpoints, as organizações precisam considerar continuamente como respondem aos alertas e também integrar inteligência de ameaças focada com buscas regulares para fornecer melhor defesa em profundidade, principalmente contra adversários capazes e hábeis.”
O relatório completo é disponível no site WithSecure.
Crédito da imagem: tang90246/depositphotos.com