Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/north-korean-lazarus-hackers-take-aim-at-us-energy-providers/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
O grupo APT norte-coreano 'Lazarus' (APT38) está explorando os servidores VMWare Horizon para acessar as redes corporativas de fornecedores de energia nos Estados Unidos, Canadá e Japão.
Lazarus é um agente de ameaças apoiado pelo estado conhecido por conduzir campanhas de espionagem, roubo de dados e roubo de criptomoedas na última década. Os agentes de ameaças são responsáveis por centenas de ataques sofisticados internacionalmente.
De acordo com pesquisadores da Cisco Talos, que descobriram a operação mais recente, o Lazarus teve como alvo as organizações de energia entre fevereiro e julho de 2022, aproveitando as explorações públicas do VMWare Horizon para acesso inicial.
A partir daí, eles usaram famílias de malware personalizadas como 'VSingle' e 'YamaBot' e um trojan de acesso remoto (RAT) anteriormente desconhecido chamado 'MagicRAT' que é usado para procurar e roubar dados de dispositivos infectados.
Os caçadores de ameaças da Symantec analisaram a mesma campanha em abril e os pesquisadores da ASEC em maio. No entanto, o relatório da Cisco é mais profundo para revelar muitos mais detalhes sobre a atividade do agente da ameaça.
Várias estratégias de ataque
Cisco Talos apresenta várias estratégias de ataque que ilustram as mais recentes técnicas, táticas e procedimentos (TTPs) do Lazarus e destacam a versatilidade do sofisticado grupo de hackers.
No primeiro caso, os agentes de ameaças exploram servidores VMWare vulneráveis a falhas do Log4Shell para executar shellcode que estabelece um shell reverso para executar comandos arbitrários no endpoint comprometido.
Uma das cadeias de infecção de Lazarus na campanha (Cisco Talos)
Como o VMWare Horizon é executado com altos privilégios, o Lazarus pode desativar o Windows Defender por meio de modificações de chave de registro, comandos WMIC e PowerShell antes de implantar o VSingle.
O backdoor VSingle oferece suporte a comandos avançados de reconhecimento de rede, prepara o terreno para o roubo de credenciais, cria novos usuários administradores no host e, finalmente, estabelece uma conexão shell reversa com o C2 para buscar plug-ins que enriquecem sua funcionalidade.
A cadeia de infecção VSingle (Cisco Talos)
No segundo caso apresentado no relatório, que diz respeito a uma vítima diferente, o acesso inicial e o reconhecimento seguem padrões semelhantes, mas desta vez, os hackers derrubaram o MagicRAT junto com o VSingle.
Talos publicou um post separado no MagicRAT ontem, detalhando todas as funções deste trojan inédito.
O MagicRAT pode estabelecer a persistência por conta própria executando comandos codificados que criam as tarefas agendadas necessárias, ajudam no reconhecimento do sistema e buscam malware adicional do C2, como o TigerRAT.
Comandos que MagicRAT usa para persistência (Cisco Talos)
No terceiro caso de intrusão, o Lazarus implanta o YamaBot, um malware personalizado escrito em Go, com recursos RAT padrão, como:
Listar arquivos e diretórios.
Envie informações do processo para C2.
Baixe arquivos de locais remotos.
Execute comandos arbitrários nos terminais.
Desinstalar-se
O CERT japonês vinculou o YamaBot ao Lazarus em julho de 2022, destacando seus recursos de comunicação C2 criptografados.
A diversificação da cadeia de ataque do Lazarus não se limita às cargas de malware finais, mas se estende ao proxy ou às ferramentas de encapsulamento reverso e às técnicas de coleta de credenciais.
Em alguns casos, os hackers empregaram as ferramentas Mimikatz e Procdump, enquanto em outros, eles extraíram cópias de hives de registro contendo credenciais do AD.
“Em uma instância, os invasores tentaram obter informações do Active Directory em um endpoint por meio de cmdlets do PowerShell. No entanto, um dia depois, os invasores usaram o adfind.exe para extrair informações semelhantes no mesmo endpoint”, explica Cisco Talos no relatório.
A ideia por trás dessas variações é misturar os TTPs e tornar a atribuição, a detecção e a defesa mais desafiadoras para os respondentes de incidentes.
Conforme destacado neste relatório, o Lazarus é monitorado de perto por empresas de segurança cibernética, para que eles não possam se dar ao luxo de diversificar suas cadeias de ataque.
Essa diversificação de ataques é ilustrada na ampla gama de ataques do hacker Lazarus, incluindo o direcionamento de candidatos a emprego de TI, a criação de aplicativos falsos de negociação de criptomoedas, a criação de ferramentas de desenvolvimento trojanizadas, o uso de ransomware como isca e os enormes US$ 620 milhões roubo de roubo de criptomoeda da ponte Ronin.
Postar um comentário