Principais grupos de ameaças que visam o Brasil: conheça o Lazarus Group

Por Ismael Rocha: Uma ameaça persistente avançada (APT) trabalha para acessar redes e sistemas de computadores sem ser detectada ou notada. Essas ameaças, às vezes executadas por um estado-nação ou por um grupo patrocinado por um estado, podem roubar informações privadas e secretas, danificar sistemas de TI e interromper o funcionamento de sistemas vitais. Defender-se contra ameaças persistentes avançadas é uma tarefa difícil, pois elas agem furtivamente e suas invasões podem ser difíceis de reconhecer.

O Brasil é um país com uma grande variedade de setores econômicos, tais como: educação/pesquisa, financeiro, saúde, governamental/militar, varejo, energia, comunicação, tecnologia, entre outros. Estes setores movimentam grandes quantias para governos e organizações, consequentemente despertando o interesse de grupos de ameaças avançadas. Assim, é possível notar o grande aumento dos ataques cibernéticos para obtenção de ganhos financeiros, acesso a arquivos secretos e confidenciais ou desestruturação do país por parte dos cibercriminosos.

O grupo de hackers conhecido como Lazarus Group é uma ameaça avançada que utiliza técnicas sofisticadas para comprometer redes e sistemas de computador. Eles empregam uma variedade de técnicas de hacking, incluindo malwares personalizados, ataques de phishing, engenharia social e exploração de vulnerabilidades de segurança. A seguir, descrevemos algumas das técnicas mais frequentemente utilizadas:

  • Malware personalizado, o grupo é conhecido por desenvolver seu próprio malware para usar em seus ataques. Eles criaram várias famílias de malware, incluindo o backdoor Manuscrypt, o trojan Fallchill e o ransomware WannaCry.
  • Ataques de phishing, eles também usam ataques de phishing para enganar as vítimas e fazê-las clicar em links maliciosos ou baixar arquivos infectados. Os e-mails de phishing podem parecer legítimos e geralmente incluem um link ou anexo que, quando clicado ou baixado, instala malware no computador da vítima.
  • Engenharia social, o Lazarus é conhecido por usar técnicas de engenharia social para obter acesso aos sistemas das vítimas. Isso pode incluir o uso de pretextos falsos para obter informações confidenciais, como senhas e nomes de usuário.
  • Exploração de vulnerabilidades de segurança, é bem conhecido por explorar vulnerabilidades de segurança conhecidas em sistemas e software para obter acesso não autorizado a redes e sistemas de computador.

Os alvos do grupo Lazarus incluem governos, empresas e organizações em todo o mundo, de setores diversos, incluindo finanças, energia, criptomoedas e mídia. As motivações do grupo podem variar, mas em geral, eles procuram obter informações confidenciais e financeiras para benefício próprio ou para fins políticos.

Modo de operação do Lazarus Group

Figura 1 – Modo de operação da ameaça

A cadeia de ataque da ameaça avançada Lazarus Group geralmente envolve diversas etapas, incluindo:

  • Reconhecimento – O grupo coleta informações sobre o alvo por meio de técnicas de engenharia social, como phishing, e coleta de informações públicas disponíveis na internet.
  • Entrega – Depois de identificar seus alvos, o grupo usa diversas técnicas para entregar sua carga maliciosa, como phishing, engenharia social e exploração de vulnerabilidades em sistemas desatualizados.
  • Exploração – Uma vez que a carga maliciosa é entregue com sucesso, o grupo usa técnicas de exploração para obter acesso ao sistema do alvo. Isso pode envolver a exploração de vulnerabilidades de softwares conhecidas, o uso de backdoors previamente instalados ou outros métodos.
  • Propagação – Dentro do sistema, o grupo se espalha para outros dispositivos e sistemas dentro da rede do alvo, a fim de garantir acesso persistente e maximizar o impacto do ataque.
  • Roubo de informações – O objetivo principal do Lazarus Group é roubar informações sensíveis, como propriedade intelectual, segredos comerciais, dados pessoais e informações financeiras. O grupo usa técnicas avançadas de espionagem para roubar essas informações e transferi-las para seus servidores de comando e controle.
  • Ações maliciosas – O grupo pode realizar outras ações maliciosas, como instalar backdoors, criar contas de usuário com privilégios elevados e exfiltrar dados, a fim de manter o acesso e continuar a roubar informações.

Em resumo, o Lazarus Group é um grupo altamente sofisticado que utiliza uma ampla gama de técnicas para realizar seus ataques cibernéticos. A cadeia de ataque pode variar dependendo do alvo específico e do tipo de informação que o grupo está tentando roubar, mas, em geral, essas etapas são comuns a muitos dos ataques do grupo.

Principais alvos do grupo

É importante ressaltar que o grupo Lazarus é conhecido por ter como alvo organizações em todo o mundo, e que esta lista de países não é exaustiva. As motivações do grupo podem variar, mas em geral, eles procuram obter informações confidenciais e financeiras para benefício próprio ou para fins políticos. As empresas e organizações devem tomar medidas para proteger suas redes e sistemas contra-ataques cibernéticos, independentemente de sua localização geográfica.

Figura 2 – Países alvos da ameaça

Técnicas usadas em ataques

O Lazarus Group é conhecido por usar uma variedade de ferramentas de malware e técnicas de hacking em seus ataques, incluindo:

  • Backdoors – Para manter o acesso persistente aos sistemas comprometidos.
  • RATs (Remote Access Trojans) – Para controlar remotamente os sistemas comprometidos.
  • Keyloggers – Para roubar informações de login e outras informações confidenciais.
  • Malware bancário – Para roubar informações financeiras e realizar transferências fraudulentas.
  • Spear-phishing – Para entregar seu malware aos alvos.
  • Malware personalizado – O Lazarus Group é conhecido por criar seu próprio malware personalizado, incluindo o malware Destover usado no ataque à Sony Pictures em 2014.
  • Zero-days – O grupo também é conhecido por usar vulnerabilidades de dia zero em seus ataques, que são vulnerabilidades de softwares desconhecidas que ainda não foram corrigidas pelos fabricantes.

O grupo é altamente sofisticado e está em constante evolução, portanto, é provável que o grupo esteja usando novas ferramentas e técnicas que ainda não foram identificadas pelos pesquisadores de segurança.

TTPs – MITRE ATT&CK

TáticaTécnicaDetalhes
Defense Evasion Privilege EscalationT1134O keylogger do Grupo Lazarus, KiloAlfa, obtém tokens de usuário de sessões interativas para executar a si mesmo com chamada de API CreateProcessAsUserAsob o contexto desse usuário.
DiscoveryT1087Consulta aos servidores de diretório ativo da vítima comprometida para obter a lista de funcionários, incluindo contas de administrador.
PersistenceT1098O malware do Lazarus Group, WhiskeyDelta-Two, contém uma função que tenta renomear a conta do administrador.
Resource DevelopmentT1583Adquiriu domínios relacionados às suas campanhas para atuar como pontos de distribuição e canais C2.
Credential Access CollectionT1557Executou o Responder usando o comando [Responder file path] -i [IP address] –rPvem um host comprometido para coletar credenciais e mover lateralmente.
Command and ControlT1071Condução de C2 sobre HTTP e HTTPS.
CollectionT1560Comprimiu dados exfiltrados com RAR e usou o malware RomeoDelta para arquivar diretórios específicos no formato .zip, criptografar o arquivo .zip e enviá-lo para C2.
Persistence Privilege EscalationT1547Manteve a persistência carregando código malicioso em uma pasta de inicialização ou adicionando uma chave.
Credential AccessT1110O malware Lazarus Group tenta se conectar aos compartilhamentos do Windows para movimentação lateral usando uma lista gerada de nomes de usuários, que se concentram em permutações do nome de usuário Administrador e senhas fracas.
ExecutionT1059Uso do PowerShell para executar comandos e códigos maliciosos.
Persistence Privilege EscalationT1543Várias famílias de malware do Lazarus Group se instalam como novos serviços.
ImpactT1485Uso de função de exclusão segura personalizada para sobrescrever o conteúdo do arquivo com dados da memória heap.
CollectionT1005Coleta de dados e arquivos de redes comprometidas.
Command and ControlT1001Usa uma forma exclusiva de criptografia de comunicação conhecida como FakeTLS, que imita o TLS, mas usa um método de criptografia diferente, evitando potencialmente a inspeção/descriptografia do tráfego SSL.
Defense EvasionT1140Uso do shellcode dentro de macros para descriptografar e mapear manualmente DLLs e shellcode na memória em tempo de execução.

Indicadores de Comprometimento (IoCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/analisado
md5:aac5a52b939f3fe792726a13ff7a1747
sha1:f6760fb1f8b019af2304ea6410001b63a1809f1d
sha256:cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a
File name:sysnetd
Indicadores de compromisso de artefato malicioso/analisado
md5:2ff1688fe866ec2871169197f9d46936
sha1:6dc37ff32ea70cbd0078f1881a351a0a4748d10e
sha256:b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9
File name:524100.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:38fc56965dccd18f39f8a945f6ebc439
sha1:50736517491396015afdf1239017b9abd16a3ce9
sha256:32ec329301aa4547b4ef4800159940feb950785f1ab68d85a14d363e0ff2bc11
File name:sdchange.exe
Indicadores de compromisso de artefato malicioso/analisado
md5:5c0c1b4c3b1cfd455ac05ace994aed4b
sha1:69cda1f1adeeed455b519f9cf188e7787b5efa07
sha256:8a1d57ee05d29a730864299376b830a7e127f089e500e148d96d0868b7c5b520
File name:provthrd.dll
Indicadores de compromisso de artefato malicioso/analisado
md5:d2da675a8adfef9d0c146154084fff62
sha1:c55d080ea24e542397bbbfa00edc6402ec1c902c
sha256:f8f7720785f7e75bd6407ac2acd63f90ab6c2907d3619162dc41a8ffa40a5d03
File name:d2da675a8adfef9d0c146154084fff62.virus
Indicadores de compromisso de artefato malicioso/analisado
md5:f315be41d9765d69ad60f0b4d29e4300
sha1:f60c2bd78436a14e35a7e85feccb319d3cc040eb
sha256:fe43bc385b30796f5e2d94dfa720903c70e66bc91dfdcfb2f3986a1fea3fe8c5
File name:xwtpdui.dll
Indicadores de compromisso de artefato malicioso/analisado
md5:37505b6ff02a679e70885ccd60c13f3b
sha1:6402fafa0864460fea18a83ec4885bfe179734b2
sha256:2fc71184be22ed1b504b75d7bde6e46caac0bf63a913e7a74c3b65157f9bf1df
File name:Binance_Guide (1).doc

URLs de distribuição e endereços IP C2:

109[.]248[.]150[.]13
192[.]186[.]183[.]133
54[.]68[.]42[.]4
84[.]38[.]133[.]145
104[.]155[.]149[.]103
40[.]121[.]90[.]194
185[.]29[.]8[.]162
46[.]183[.]221[.]109
84[.]38[.]133[.]145

Obs.: Os links e endereços IP elencados acima podem estar ativos. Cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Como se proteger do Lazarus Group

Além dos indicadores de comprometimento elencados acima, poderão ser adotadas medidas visando a mitigação contra a ameaça, como por exemplo:

  • Mantenha o software atualizado, certifique-se de que todos os seus sistemas operacionais, aplicativos e programas tenham as versões mais recentes e aplique regularmente as atualizações de segurança disponibilizadas pelos fornecedores. Isso ajuda a corrigir vulnerabilidades conhecidas e reduzir a superfície de ataque.
  • Utilize uma solução antivírus confiável, instale e mantenha atualizado um software antivírus robusto em todos os seus dispositivos. Isso ajudará a detectar e remover malware, incluindo os utilizados pelo Lazarus Group.
  • Fortaleça as senhas, utilize senhas fortes e únicas para todas as suas contas e evite reutilizá-las. Considere o uso de gerenciadores de senhas para ajudar a lembrar e proteger suas credenciais.
  • Esteja atento a phishing, o Lazarus Group muitas vezes utiliza e-mails de phishing para distribuir malware. Portanto, tenha cuidado ao abrir anexos ou clicar em links de e-mails suspeitos. Verifique sempre a autenticidade dos remetentes antes de fornecer informações confidenciais.
  • Utilize autenticação de dois fatores (2FA), ative a autenticação de dois fatores sempre que possível, pois isso adiciona uma camada extra de segurança ao exigir uma segunda forma de autenticação além da senha, como um código enviado para o seu dispositivo móvel.
  • Faça backups regularmente, realize backups periódicos de seus dados importantes e verifique se eles estão armazenados em locais seguros e fora do alcance de ataques cibernéticos. Isso ajudará a minimizar os danos causados por ataques de ransomware ou perda de dados.
  • Eduque os usuários, treine você e sua equipe sobre as melhores práticas de segurança cibernética, como reconhecer sinais de um ataque de phishing, evitar o download de arquivos suspeitos e manter a cautela ao navegar na internet.
  • Monitore atividades suspeitas, esteja atento a qualquer atividade incomum em seus sistemas, como comportamento anormal ou tráfego de rede suspeito. Utilize ferramentas de monitoramento e detecção de intrusões para identificar possíveis comprometimentos.
  • Estabeleça uma política de segurança, implemente políticas de segurança claras e rigorosas em sua organização. Isso inclui restrições ao acesso a informações confidenciais, uso de dispositivos pessoais e diretrizes para lidar com incidentes de segurança.

Referências

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *