Analysis

Kaspersky analisa evolução de grupo associado ao Lazarus

A Kaspersky investigou o DeathNote, um dos agrupamentos do grupo Lazarus e que se transformou drasticamente ao longo dos anos

27/04/2023

Kaspersky analisa evolução de grupo associado ao Lazarus

A Kaspersky investigou recentemente o DeathNote, um dos agrupamentos do grupo Lazarus. O DeathNote transformou-se drasticamente ao longo dos anos, começando em 2019 com ataques a negócios relacionados com criptomoedas a nível mundial. No final de 2022, foi responsável por campanhas direcionadas que afetaram empresas de TI e de defesa na Europa, América Latina, Coreia do Sul e África. O mais recente relatório da Kaspersky dá conta de uma mudança nos alvos do DeathNote, bem como o desenvolvimento e aperfeiçoamento das suas ferramentas, técnicas e procedimentos durante os últimos quatro anos.

O cibergrupo Lazarus tem visado persistentemente as empresas envolvidas na indústria das criptomoedas. A Kaspersky detetou que, num caso particular, utilizaram um malware modificado. Em meados de outubro de 2019, os analistas da empresa de cibersegurança encontraram um documento suspeito no VirusTotal. O autor do malware utilizou documentos de engodo relacionados com o negócio das criptomoedas, que incluíam um questionário sobre a compra de moedas virtuais, a introdução a uma determinada divisa virtual e a uma empresa de mineração de bitcoin. Esta foi a primeira vez que a campanha DeathNote entrou em cena, visando indivíduos e empresas relacionadas com criptomoedas no Chipre, Estados Unidos da América, Taiwan e Hong Kong.

No entanto, em abril de 2020, a Kaspersky registou uma mudança significativa nos vetores de infeção do DeathNote, ao focar-se em organizações dos setores automóvel e académico da Europa de Leste, todas ligadas à indústria de defesa. Os cibercriminosos modificaram os documentos de engodo relacionados com as descrições de funções dos prestadores de serviços de defesa e com temas de diplomacia. Além disso, elaboraram a sua própria cadeia de infeção, utilizando uma técnica de injeção remota e um software de visualização de PDFs de código aberto embutido com um trojan. Ambos os métodos de infeção resultam no mesmo malware, o DeathNote downloader.

Em maio de 2021, a Kaspersky observou que uma empresa de TI na Europa, que fornece soluções para monitorização de dispositivos de rede e servidores, foi igualmente comprometida pelo agrupamento DeathNote. No início de junho do mesmo ano, este subgrupo do Lazarus começou a utilizar um novo mecanismo para infetar alvos na Coreia do Sul. O que chamou a atenção dos investigadores foi que a fase inicial do malware foi executada por um software legítimo, que é amplamente para efeitos de segurança na Coreia do Sul.

Enquanto monitorizavam o agrupamento DeathNote em 2022, os investigadores da Kaspersky descobriram que este tinha sido responsável por ataques a um fornecedor de serviços de defesa na América Latina. O vetor inicial de infeção foi semelhante ao verificado em outros alvos da indústria da defesa, envolvendo a utilização de um leitor de PDFs trojanizado com um ficheiro PDF manipulado. No entanto, neste caso particular, o cibercriminoso adotou uma técnica de side-loading para executar a payload final.

Na campanha em curso, que foi descoberta pela primeira vez em julho de 2022, foi revelado que o grupo Lazarus tinha atacado com sucesso um fornecedor de defesa em África. A infeção teve início através de uma aplicação de leitura de PDFs, enviada via Skype. Ao executar o leitor de PDFs, foi criado um ficheiro legítimo (CameraSettingsUIHost.exe) e um ficheiro malicioso (DUI70.dll) no mesmo diretório.

O grupo Lazarus é um agente de ameaça perigoso e altamente habilidoso. A nossa análise ao agrupamento DeathNote revela uma rápida evolução nas suas táticas, técnicas e procedimentos (TTP) ao longo dos anos. Nesta campanha, o Lazarus não se limita a negócios relacionados com as criptomoedas. Foi, aliás, muito mais longe. Emprega tanto software legítimo, como ficheiros maliciosos, para comprometer empresas de serviços de defesa. Como o grupo Lazarus continua a aperfeiçoar as suas abordagens, é crucial que as organizações mantenham a vigilância e tomem medidas proativas para se defenderem contra as suas atividades maliciosas”, afirma Seongsu Park, investigador líder de segurança, GReAT na Kaspersky.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.