Investigadores da ESET, empresa europeia especialista em cibersegurança, descobriram um ataque do grupo APT Lazarus contra uma empresa aeroespacial em Espanha, no qual o grupo utilizou várias ferramentas com o objetivo final de promover ações de ciberespionagem.
Um grupo com fortes ligações ao governo da Coreia do Norte, o Lazarus obteve acesso inicial à rede da empresa em Espanha no ano passado, após uma campanha altamente direcionada de phishing (também designada de spearphishing), onde operadores do grupo se fizeram passar por recrutadores da Meta – a empresa por detrás do Facebook, Instagram e WhatsApp.
Para levar a cabo o ataque, o grupo APT Lazarus distribuiu malware que executava ações específicas que os atacantes desejavam realizar (ou payload) de um novo tipo, que a ESET designou de LightlessCan. Este payload é uma ferramenta complexa e, possivelmente, em evolução que exibe um elevado nível de sofisticação no seu design e operabilidade, representando um avanço significativo nas capacidades maliciosas quando comparado com outras ferramentas.
Na primeira abordagem aos funcionários da empresa visada, o recrutador impostor contactou as vítimas através do LinkedIn Messaging, uma funcionalidade da plataforma de rede social profissional LinkedIn, enviando-lhes dois desafios de programação supostamente necessários como parte do processo de recrutamento, que a vítima descarregou e executou num dispositivo da empresa. A investigação da ESET foi capaz de reconstruir os passos iniciais de acesso e analisar o conjunto de ferramentas utilizadas pelo Lazarus graças à cooperação com a empresa aeroespacial afetada.
Contacto inicial de um atacante que se fez passar por um recrutador da Meta.
O Lazarus enviou vários payloads para os sistemas das vítimas, o mais notável dos quais o trojan de acesso remoto (Remote Access Trojan – RAT) sofisticado e anteriormente não documentado LightlessCan. O trojan imita as funcionalidades de uma vasta gama de comandos nativos do Windows, normalmente utilizados de forma fraudulenta pelos agentes maliciosos, permitindo uma execução discreta dentro do próprio RAT em vez de execuções visíveis na consola. Esta mudança estratégica aumenta a dissimulação, tornando a deteção e análise das atividades do grupo APT mais difícil.
Outro mecanismo usado para minimizar a exposição foram os execution guardrails – um conjunto de protocolos e mecanismos de proteção implementados para salvaguardar a integridade e a confidencialidade do payload durante a sua implementação e execução, impedindo eficazmente a desencriptação em máquinas não visadas, como as dos investigadores de segurança.
O Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT de ciberespionagem com fortes ligações à Coreia do Norte que está ativo desde, pelo menos, 2009.
A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo, que executa os três pilares das atividades cibercriminosas: ciberespionagem, cibersabotagem e procura de ganhos financeiros. As empresas aeroespaciais não são um alvo invulgar para os grupos APT alinhados com a Coreia do Norte. O país efetuou vários testes de mísseis avançados que violam as resoluções do Conselho de Segurança das Nações Unidas.