Lazarus Group ressurge novamente para reunir informações sobre empresas de energia e saúde

Pesquisadores de segurança relataram em 2 de fevereiro que detectaram uma campanha de ataque cibernético do grupo norte-coreano Lazarus, visando pesquisas médicas e organizações de energia para fins de espionagem. 

A atribuição foi feita por analistas de inteligência de ameaças da WithSecure, que descobriram a campanha enquanto analisavam um incidente contra um cliente que suspeitava ser um ataque de ransomware. Uma investigação mais aprofundada - e um deslize importante de segurança operacional (OpSec) da tripulação do Lazarus - os ajudou a descobrir evidências de que na verdade fazia parte de uma campanha mais ampla de coleta de inteligência patrocinada pelo estado e dirigida pela Coréia do Norte.

“Inicialmente, suspeitou-se que fosse uma tentativa de ataque de ransomware BianLian”, diz Sami Ruohonen, pesquisador sênior de inteligência de ameaças da WithSecure. “As evidências que coletamos apontaram rapidamente para uma direção diferente. E conforme coletamos mais, ficamos mais confiantes de que o ataque foi conduzido por um grupo ligado ao governo norte-coreano, levando-nos a concluir com confiança que era o Grupo Lazarus.”

Do ransomware à espionagem cibernética

O incidente que os levou a essa atividade começou por meio de um comprometimento inicial e escalonamento de privilégios que foi alcançado por meio da exploração de vulnerabilidades conhecidas em um servidor de correio Zimbra não corrigido no final de agosto. Em uma semana, os agentes de ameaças haviam exfiltrado muitos gigabytes de dados das caixas de correio naquele servidor. Em outubro, o invasor estava se movendo lateralmente pela rede e usando técnicas de viver fora da terra (LotL) pelo caminho. Em novembro, os ativos comprometidos começaram a sinalizar para Ataque de cobalto infraestrutura de comando e controle (C2) e, nesse período, os invasores extraíram quase 100 GB de dados da rede. 

A equipe de pesquisa apelidou o incidente de “No Pineapple” para uma mensagem de erro em um backdoor usado pelos bandidos, que acrescentou quando os dados excedem o tamanho do byte segmentado.

Os pesquisadores dizem ter um alto grau de confiança de que a atividade se encaixa com a atividade do grupo Lazarus com base no malware, TTPs e algumas descobertas que incluem uma ação importante durante a exfiltração de dados. Eles descobriram um shell da Web controlado por um invasor que, por um curto período, se conectou a um endereço IP pertencente à Coreia do Norte. O país tem menos de mil desses endereços e, a princípio, os pesquisadores se perguntaram se era um engano, antes de confirmarem que não.

“Apesar da falha do OpSec, o ator demonstrou bom tradecraft e ainda conseguiu realizar ações ponderadas em endpoints cuidadosamente selecionados”, diz Tim West, chefe de inteligência de ameaças da WithSecure.

À medida que os pesquisadores investigavam o incidente, eles também foram capazes de identificar vítimas adicionais do ataque com base em conexões com um dos servidores C2 controlados pelos atores da ameaça, sugerindo um esforço muito mais amplo do que se suspeitava inicialmente, de acordo com os motivos de espionagem. Outras vítimas incluíram uma empresa de pesquisa em saúde; um fabricante de tecnologia usada em setores verticais de energia, pesquisa, defesa e saúde; e um departamento de engenharia química em uma importante universidade de pesquisa. 

A infraestrutura observada pelos pesquisadores foi estabelecida desde maio passado, com a maioria das violações observadas ocorrendo no terceiro trimestre de 2022. Com base na vitimologia da campanha, os analistas acreditam que o agente da ameaça visava intencionalmente a cadeia de suprimentos do setor médico verticais de pesquisa e energia.

Lázaro nunca fica caído por muito tempo

Lazarus é um grupo de ameaça de longa data que é amplamente pensado para ser dirigido pelo Bureau de Inteligência e Reconhecimento Estrangeiro da Coréia do Norte. Os pesquisadores de ameaças identificaram a atividade do grupo desde 2009, com ataques consistentes decorrentes dele ao longo dos anos desde então, com apenas curtos períodos de inatividade entre eles. 

Os motivos são financeiros - é um importante gerador de receitas para o regime - e relacionados a espionagem. Em 2022, surgiram vários relatórios de ataques avançados do Lazarus que incluíam segmentação do chip M1 da Apple, assim como golpes de anúncio de emprego falso. Um similar ataque em abril passado enviou arquivos maliciosos para alvos do setor químico e de TI, também disfarçados de ofertas de emprego para empregos dos sonhos altamente atraentes.

Enquanto isso, na semana passada, o FBI confirmou que os atores de ameaças do Lazarus Group foram responsáveis ​​pelo roubo em junho passado de US$ 100 milhões em moeda virtual do sistema de comunicação entre cadeias da empresa de blockchain Harmony, chamada Horizon Bridge. Os investigadores do FBI relatam que o grupo usou o protocolo de privacidade Railgun no início de janeiro para lavar mais de US$ 60 milhões em Ethereum roubados no roubo da Horizon Bridge. As autoridades dizem que conseguiram congelar “uma parte desses fundos”.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot/lazarus-group-rises-again-gather-intelligence-energy-healthcare-firms