Hackers norte-coreanos visando a cadeia de suprimentos de TI: Kaspersky
O grupo de hackers Lazarus, vinculado à Coreia do Norte, patrocinado pelo estado, começou a ter como alvo a cadeia de suprimentos de TI em ataques recentes, de acordo com a empresa de segurança cibernética Kaspersky.
Como parte dos ataques observados, o grupo usou um cluster de malware DeathNote atualizado, que inclui uma versão ligeiramente modificada do BLINDINGCAN, uma peça de malware que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) associou ao grupo.
Uma nova variante de COPPERHEDGE, que Lazarus tem usado por pelo menos dois anos, também foi usada nesses ataques.
O cluster de malware atualizado foi usado em ataques contra um “think tank sul-coreano e um fornecedor de solução de monitoramento de ativos de TI”, disse a Kaspersky em seu relatório trimestral de tendências APT .
Como parte do primeiro incidente, o grupo Lazarus comprometeu um software de segurança sul-coreano legítimo para construir uma cadeia de infecção e implantar sua carga maliciosa, enquanto o segundo ataque começou com o objetivo de um desenvolvedor de soluções de monitoramento de ativos na Letônia.
O downloader Racket, assinado com um certificado roubado, foi usado como parte da cadeia de infecção. O grupo de hackers comprometeu servidores da Web vulneráveis e implantou neles scripts que lhes permitiam controlar os implantes maliciosos.
Nos últimos meses, a Kaspersky também observou o Lazarus visando a indústria de defesa com a estrutura de malware MATA, para fins de espionagem cibernética. Anteriormente, o grupo usava o MATA para vários fins, incluindo roubo de informações e entrega de ransomware.
Os ataques empregaram uma cadeia de infecção de vários estágios em que um downloader foi usado para buscar malware adicional do servidor de comando e controle (C&C). Lazarus atualizou a estrutura MATA para esta campanha e também usou um certificado digital legítimo, mas roubado, para assinar alguns de seus componentes.
“Por meio dessa pesquisa, descobrimos uma conexão mais forte entre a MATA e o grupo Lazarus, incluindo o fato de que o malware de download que buscava o malware MATA mostrava ligações com o TangoDaiwbo, que havíamos anteriormente atribuído ao grupo Lazarus”, disse Kaspersky.
Ativo desde pelo menos 2009 e também conhecido como Hidden Cobra, acredita-se que Lazarus tenha orquestrado vários ataques de alto perfil. Em 2020, o grupo teve como alvo a pesquisa COVID-19 , incluindo a fabricante de vacinas Pfizer e membros da comunidade de pesquisa de segurança .
“Este grupo APT não é o único visto usando ataques à cadeia de suprimentos. No último trimestre, também rastreamos esses ataques realizados por SmudgeX e BountyGlad. Quando realizados com sucesso, os ataques à cadeia de suprimentos podem causar resultados devastadores, afetando muito mais de uma organização – algo que vimos claramente com o ataque à SolarWinds no ano passado. Com os atores da ameaça investindo em tais capacidades, precisamos permanecer vigilantes e concentrar os esforços de defesa nessa frente ”, disse o pesquisador da Kaspersky, Ariel Jungheit.