Durante as últimas semanas, a equipa de investigação da Check Point tem monitorizado atividades suspeitas direcionadas a empresas sediadas na Rússia que expuseram uma relação “predador-presa” nunca antes vista. Pela primeira vez, a Check Point tem vindo a observar aquilo que tudo indica ser um ataque coordenado pela Coreia do Norte contra entidades russas. Tendo consciência que a atribuição dos ataques a um determinado grupo ou a outro pode ser problemático, a análise realizada pela Check Point revela as conexões intrínsecas às táticas, técnicas e ferramentas utilizadas pelo grupo norte coreano APT – Lazarus.
Esta descoberta aconteceu enquanto a Check Point realizava a monitorização de diversos documentos Office maliciosos, especificamente desenhados e fabricados para vítimas russas. Após uma análise mais profunda dos documentos em causa, a equipa US-CERT da Check Point conseguiu perceber que estes correspondiam aos estágios iniciais de uma cadeia de infeção que em última instância conduziria a uma versão atualizada do versátil backdoor Lazarus, apelidado de KEYMARBLE.
Ataques do Grupo Lazarus
O grupo Lazarus, também conhecido como Cobra Oculta, é um dos grupos APT mais ativos do mundo. Acredita-se que este terrível grupo, conhecido por ser um ator de ameaças patrocinado pela Coreia do Norte, esteja por trás de algumas das maiores fugas de informação da última década. Isto inclui o ataque à Sony Pictures Entertainment, o assalto ao banco do Bangladesh, e muitas outras operações de alto risco, como o roubo de milhões de dólares em criptomoeda de pelo menos cinco casas de intercâmbio de criptomoeda diferentes em todo o mundo.
Este incidente, representa uma eleição de uma vítima não habitual por parte do grupo cibercriminoso norte coreano. Geralmente, estes ataques refletem as tensões geopolíticas entre a República Popular Democrática da Coreia e nações como Estados Unidos, Japão e Coreia do Sul. Neste caso foram organizações russas o alvo do ataque.
Na comunidade da segurança acredita-se que o Lazarus está dividido em, pelo menos, duas fações: a primeira, chamada Andariel com foco em atacar primeiramente o governo da Coreia do Sul e as suas organizações; a segunda, chamada Bluenoroff que tem como foco principal a monetização e campanhas de espionagem global.
As diferenças entre estas duas campanhas, postas em prática ao mesmo tempo, permitem comprovar a teoria de que existe mais do que uma divisão a trabalhar em simultâneo.
A Cadeia de infeção
Segundo os investigadores da Check Point, o fluxo principal de infeção neste tipo de ataques acontece com base nos seguintes 3 passos:
- Um ficheiro ZIP que contém documentos: um documento PDF benigno e um documento Word malicioso com macros.
- As macros maliciosas descarregam um script VBS a partir de um URL de Dropbox, seguindo-se a execução do script VBS.
- O script VBS descarrega um ficheiro CAB do servidor da dropzone, extrai o ficheiro EXE embutido (backdoor) usando a funcionalidade “expandir.exe” do Windows, e finalmente executa-o.
No início, a cadeia de infeção segue todos os passos, porém a um determinado momento, os cibercriminosos decidiram saltar a segunda etapa, e as macros maliciosas do Word foram modificadas para “descarregar e executar” diretamente o backdoor do Lazarus da terceira etapa.
