🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma investigação conjunta liderada por Mauro Eldritch, fundador da BCA LTD, conduzida em conjunto com a iniciativa de inteligência de ameaças NorthScan e ANY.RUN, uma solução para análise interativa de malware e inteligência de ameaças, descobriu um dos esquemas de infiltração mais persistentes da Coreia do Norte: uma rede de trabalhadores remotos de TI ligados à famosa divisão Chollima do Grupo Lazarus.
Pela primeira vez, os pesquisadores conseguiram observar o trabalho dos operadores ao vivo, capturando suas atividades no que eles acreditavam serem verdadeiros laptops de desenvolvedores. As máquinas, no entanto, eram ambientes sandbox totalmente controlados e de longa duração criados pela ANY.RUN.
A configuração: seja recrutado e deixe-os entrar
Captura de tela de uma mensagem de um recrutador oferecendo uma falsa oportunidade de emprego
A operação começou quando Heiner García, da NorthScan, se passou por um desenvolvedor norte-americano alvo de um recrutador do Lazarus usando o pseudônimo “Aaron” (também conhecido como “Blaze”).
Fazendo-se passar por um "negócio" de emprego, Blaze tentou contratar o falso desenvolvedor como frontman; uma tática conhecida de Chollima usada para colocar trabalhadores de TI norte-coreanos em empresas ocidentais, principalmente nos setores de finanças, criptografia, saúde e engenharia.
O processo de entrevistas
O esquema seguiu um padrão familiar:
roubar ou emprestar uma identidade,
passar entrevistas com ferramentas de IA e respostas compartilhadas,
trabalhar remotamente através do laptop da vítima,
canalizar o salário de volta para a RPDC.
Depois que Blaze solicitou acesso total, incluindo SSN, ID, LinkedIn, Gmail e disponibilidade de laptop 24 horas por dia, 7 dias por semana, a equipe passou para a fase dois.
A armadilha: uma “fazenda de laptops” que não era real
Um ambiente virtual seguro fornecido pelo Interactive Sandbox da ANY.RUN
Em vez de usar um laptop real, Mauro Eldritch da BCA LTD implantou as máquinas virtuais do ANY.RUN Sandbox, cada uma configurada para se assemelhar a uma estação de trabalho pessoal totalmente ativa com histórico de uso, ferramentas de desenvolvedor e roteamento de proxy residencial nos EUA.
A equipe também poderia forçar travamentos, limitar a conectividade e capturar instantâneos de cada movimento sem alertar os operadores.
O que eles encontraram no kit de ferramentas do famoso Chollima
As sessões de sandbox expuseram um conjunto de ferramentas enxuto, mas eficaz, desenvolvido para controle de identidade e acesso remoto, em vez de implantação de malware. Depois que o perfil do Chrome foi sincronizado, os operadores carregaram:
Ferramentas de automação de trabalho baseadas em IA (Simplify Copilot, AiApply, Final Round AI) para preencher automaticamente inscrições e gerar respostas para entrevistas.
Geradores OTP baseados em navegador (OTP.ee / Authenticator.cc) para lidar com 2FA das vítimas após a coleta dos documentos de identidade.
Google Remote Desktop, configurado via PowerShell com um PIN fixo, fornecendo controle persistente do host.
Reconhecimento de rotina do sistema (dxdiag, systeminfo, whoami) para validar o hardware e o ambiente.
Conexões roteadas consistentemente através do Astrill VPN, um padrão vinculado à infraestrutura anterior do Lazarus.
Em uma sessão, a operadora até deixou uma mensagem no Bloco de Notas solicitando ao “desenvolvedor” que carregasse seu ID, SSN e dados bancários, confirmando o objetivo da operação: identidade completa e controle da estação de trabalho sem implantar um único malware.
Um aviso para empresas e equipes de contratação
A contratação remota tornou-se um ponto de entrada silencioso, mas confiável, para ameaças baseadas em identidade. Os invasores geralmente chegam à sua organização visando funcionários individuais com solicitações de entrevistas aparentemente legítimas. Uma vez lá dentro, o risco vai muito além de um único trabalhador comprometido. Um infiltrado pode obter acesso a painéis internos, dados comerciais confidenciais e contas de nível gerencial que geram impacto operacional real.
Aumentar a conscientização dentro da empresa e oferecer às equipes um local seguro para verificar qualquer coisa suspeita pode ser a diferença entre interromper uma abordagem precocemente e lidar posteriormente com um comprometimento interno total.
Pela primeira vez, os pesquisadores conseguiram observar o trabalho dos operadores ao vivo, capturando suas atividades no que eles acreditavam serem verdadeiros laptops de desenvolvedores. As máquinas, no entanto, eram ambientes sandbox totalmente controlados e de longa duração criados pela ANY.RUN.
A configuração: seja recrutado e deixe-os entrar
Captura de tela de uma mensagem de um recrutador oferecendo uma falsa oportunidade de emprego
A operação começou quando Heiner García, da NorthScan, se passou por um desenvolvedor norte-americano alvo de um recrutador do Lazarus usando o pseudônimo “Aaron” (também conhecido como “Blaze”).
Fazendo-se passar por um "negócio" de emprego, Blaze tentou contratar o falso desenvolvedor como frontman; uma tática conhecida de Chollima usada para colocar trabalhadores de TI norte-coreanos em empresas ocidentais, principalmente nos setores de finanças, criptografia, saúde e engenharia.
O processo de entrevistas
O esquema seguiu um padrão familiar:
roubar ou emprestar uma identidade,
passar entrevistas com ferramentas de IA e respostas compartilhadas,
trabalhar remotamente através do laptop da vítima,
canalizar o salário de volta para a RPDC.
Depois que Blaze solicitou acesso total, incluindo SSN, ID, LinkedIn, Gmail e disponibilidade de laptop 24 horas por dia, 7 dias por semana, a equipe passou para a fase dois.
A armadilha: uma “fazenda de laptops” que não era real
Um ambiente virtual seguro fornecido pelo Interactive Sandbox da ANY.RUN
Em vez de usar um laptop real, Mauro Eldritch da BCA LTD implantou as máquinas virtuais do ANY.RUN Sandbox, cada uma configurada para se assemelhar a uma estação de trabalho pessoal totalmente ativa com histórico de uso, ferramentas de desenvolvedor e roteamento de proxy residencial nos EUA.
A equipe também poderia forçar travamentos, limitar a conectividade e capturar instantâneos de cada movimento sem alertar os operadores.
O que eles encontraram no kit de ferramentas do famoso Chollima
As sessões de sandbox expuseram um conjunto de ferramentas enxuto, mas eficaz, desenvolvido para controle de identidade e acesso remoto, em vez de implantação de malware. Depois que o perfil do Chrome foi sincronizado, os operadores carregaram:
Ferramentas de automação de trabalho baseadas em IA (Simplify Copilot, AiApply, Final Round AI) para preencher automaticamente inscrições e gerar respostas para entrevistas.
Geradores OTP baseados em navegador (OTP.ee / Authenticator.cc) para lidar com 2FA das vítimas após a coleta dos documentos de identidade.
Google Remote Desktop, configurado via PowerShell com um PIN fixo, fornecendo controle persistente do host.
Reconhecimento de rotina do sistema (dxdiag, systeminfo, whoami) para validar o hardware e o ambiente.
Conexões roteadas consistentemente através do Astrill VPN, um padrão vinculado à infraestrutura anterior do Lazarus.
Em uma sessão, a operadora até deixou uma mensagem no Bloco de Notas solicitando ao “desenvolvedor” que carregasse seu ID, SSN e dados bancários, confirmando o objetivo da operação: identidade completa e controle da estação de trabalho sem implantar um único malware.
Um aviso para empresas e equipes de contratação
A contratação remota tornou-se um ponto de entrada silencioso, mas confiável, para ameaças baseadas em identidade. Os invasores geralmente chegam à sua organização visando funcionários individuais com solicitações de entrevistas aparentemente legítimas. Uma vez lá dentro, o risco vai muito além de um único trabalhador comprometido. Um infiltrado pode obter acesso a painéis internos, dados comerciais confidenciais e contas de nível gerencial que geram impacto operacional real.
Aumentar a conscientização dentro da empresa e oferecer às equipes um local seguro para verificar qualquer coisa suspeita pode ser a diferença entre interromper uma abordagem precocemente e lidar posteriormente com um comprometimento interno total.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #capturam #o #esquema #de #trabalhador #remoto #do #lazarus #apt #ao #vivo #na #câmera
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário