Kaspersky analisa evolução de grupo associado ao Lazarus

A Kaspersky investigou recentemente o DeathNote, um dos agrupamentos do grupo Lazarus. O DeathNote transformou-se drasticamente ao longo dos anos, começando em 2019 com ataques a negócios relacionados com criptomoedas a nível mundial. No final de 2022, foi responsável por campanhas direcionadas que afetaram empresas de TI e de defesa na Europa, América Latina, Coreia do Sul e África. O mais recente relatório da Kaspersky dá conta de uma mudança nos alvos do DeathNote, bem como o desenvolvimento e aperfeiçoamento das suas ferramentas, técnicas e procedimentos durante os últimos quatro anos.

O cibergrupo Lazarus tem visado persistentemente as empresas envolvidas na indústria das criptomoedas. A Kaspersky detetou que, num caso particular, utilizaram um malware modificado. Em meados de outubro de 2019, os analistas da empresa de cibersegurança encontraram um documento suspeito no VirusTotal. O autor do malware utilizou documentos de engodo relacionados com o negócio das criptomoedas, que incluíam um questionário sobre a compra de moedas virtuais, a introdução a uma determinada divisa virtual e a uma empresa de mineração de bitcoin. Esta foi a primeira vez que a campanha DeathNote entrou em cena, visando indivíduos e empresas relacionadas com criptomoedas no Chipre, Estados Unidos da América, Taiwan e Hong Kong.

No entanto, em abril de 2020, a Kaspersky registou uma mudança significativa nos vetores de infeção do DeathNote, ao focar-se em organizações dos setores automóvel e académico da Europa de Leste, todas ligadas à indústria de defesa. Os cibercriminosos modificaram os documentos de engodo relacionados com as descrições de funções dos prestadores de serviços de defesa e com temas de diplomacia. Além disso, elaboraram a sua própria cadeia de infeção, utilizando uma técnica de injeção remota e um software de visualização de PDFs de código aberto embutido com um trojan. Ambos os métodos de infeção resultam no mesmo malware, o DeathNote downloader.

Em maio de 2021, a Kaspersky observou que uma empresa de TI na Europa, que fornece soluções para monitorização de dispositivos de rede e servidores, foi igualmente comprometida pelo agrupamento DeathNote. No início de junho do mesmo ano, este subgrupo do Lazarus começou a utilizar um novo mecanismo para infetar alvos na Coreia do Sul. O que chamou a atenção dos investigadores foi que a fase inicial do malware foi executada por um software legítimo, que é amplamente para efeitos de segurança na Coreia do Sul.

Enquanto monitorizavam o agrupamento DeathNote em 2022, os investigadores da Kaspersky descobriram que este tinha sido responsável por ataques a um fornecedor de serviços de defesa na América Latina. O vetor inicial de infeção foi semelhante ao verificado em outros alvos da indústria da defesa, envolvendo a utilização de um leitor de PDFs trojanizado com um ficheiro PDF manipulado. No entanto, neste caso particular, o cibercriminoso adotou uma técnica de side-loading para executar a payload final.

Na campanha em curso, que foi descoberta pela primeira vez em julho de 2022, foi revelado que o grupo Lazarus tinha atacado com sucesso um fornecedor de defesa em África. A infeção teve início através de uma aplicação de leitura de PDFs, enviada via Skype. Ao executar o leitor de PDFs, foi criado um ficheiro legítimo (CameraSettingsUIHost.exe) e um ficheiro malicioso (DUI70.dll) no mesmo diretório.

“O grupo Lazarus é um agente de ameaça perigoso e altamente habilidoso. A nossa análise ao agrupamento DeathNote revela uma rápida evolução nas suas táticas, técnicas e procedimentos (TTP) ao longo dos anos. Nesta campanha, o Lazarus não se limita a negócios relacionados com as criptomoedas. Foi, aliás, muito mais longe. Emprega tanto software legítimo, como ficheiros maliciosos, para comprometer empresas de serviços de defesa. Como o grupo Lazarus continua a aperfeiçoar as suas abordagens, é crucial que as organizações mantenham a vigilância e tomem medidas proativas para se defenderem contra as suas atividades maliciosas”, afirma Seongsu Park, investigador líder de segurança, GReAT na Kaspersky.