O grupo cibercriminoso Lazarus é autor de algumas das maiores acções de violação de segurança da última década e não quer parar
O grupo Lazaus não nos é desconhecido. O ataque à Sony picttures Entertainment fez mossa na indústria e na marca, mas o roubo de milhões de dólares em criptomoeda através das casas de câmbio deu-lhes mais visibilidade.
O grupo tem estado mais activo nas passadas semanas e uma equipa da Check Point tem vindo a acompanhar actividades suspeitas direccionadas a empresas sedeadas na Rússia que expuseram uma relação “predador-presa” nunca antes vista.
Tudo sugere um ataque coordenado pela Coreia do Norte contra entidades russas.
Esta descoberta aconteceu enquanto a Check Point realizava a monitorização de diversos documentos Office maliciosos, especificamente desenhados e fabricados para vítimas russas.
Após uma análise mais profunda dos documentos em causa, a equipa US-CERT da Check Point conseguiu perceber que estes correspondiam aos estágios iniciais de uma cadeia de infecção que em última instância conduziria a uma versão actualizada do versátil backdoor Lazarus, apelidado de KEYMARBLE.
Mudança de alvo?
Nota-se uma mudança de paradigma. Geralmente, estes ataques reflectem as tensões geopolíticas entre a República Popular Democrática da Coreia e nações como Estados Unidos, Japão e Coreia do Sul. Mas neste caso, o alvo do ataque são organizações russas.
Na comunidade da segurança acredita-se que o Lazarus está dividido em, pelo menos, duas fações: a primeira, chamada Andariel com foco em atacar primeiramente o governo da Coreia do Sul e as suas organizações; a segunda, chamada Bluenoroff que tem como foco principal a monetização e campanhas de espionagem global.
As diferenças entre estas duas campanhas, postas em prática ao mesmo tempo, permitem comprovar a teoria de que existe mais do que uma divisão a trabalhar em simultâneo.
A Cadeia de infeção
Segundo os investigadores da Check Point, o fluxo principal de infecção neste tipo de ataques acontece com base nos seguintes 3 passos:
- Um ficheiro ZIP que contém documentos: um documento PDF benigno e um documento Word malicioso com macros.
- As macros maliciosas descarregam um script VBS a partir de um URL de Dropbox, seguindo-se a execução do script VBS.
- O script VBS descarrega um ficheiro CAB do servidor da dropzone, extrai o ficheiro EXE embutido (backdoor) usando a funcionalidade “expandir.exe” do Windows, e finalmente executa-o.
No início, a cadeia de infeção segue todos os passos, porém a um determinado momento, os cibercriminosos decidiram saltar a segunda etapa, e as macros maliciosas do Word foram modificadas para “descarregar e executar” directamente o backdoor do Lazarus da terceira etapa.
Para mais informações sobre este ataque, aceda: https://research.checkpoint.com/north-korea-turns-against-russian-targets/
