Por Ismael Rocha: Uma ameaça persistente avançada (APT) trabalha para acessar redes e sistemas de computadores sem ser detectada ou notada. Essas ameaças, às vezes executadas por um estado-nação ou por um grupo patrocinado por um estado, podem roubar informações privadas e secretas, danificar sistemas de TI e interromper o funcionamento de sistemas vitais. Defender-se contra ameaças persistentes avançadas é uma tarefa difícil, pois elas agem furtivamente e suas invasões podem ser difíceis de reconhecer.
O Brasil é um país com uma grande variedade de setores econômicos, tais como: educação/pesquisa, financeiro, saúde, governamental/militar, varejo, energia, comunicação, tecnologia, entre outros. Estes setores movimentam grandes quantias para governos e organizações, consequentemente despertando o interesse de grupos de ameaças avançadas. Assim, é possível notar o grande aumento dos ataques cibernéticos para obtenção de ganhos financeiros, acesso a arquivos secretos e confidenciais ou desestruturação do país por parte dos cibercriminosos.
O grupo de hackers conhecido como Lazarus Group é uma ameaça avançada que utiliza técnicas sofisticadas para comprometer redes e sistemas de computador. Eles empregam uma variedade de técnicas de hacking, incluindo malwares personalizados, ataques de phishing, engenharia social e exploração de vulnerabilidades de segurança. A seguir, descrevemos algumas das técnicas mais frequentemente utilizadas:
- Malware personalizado, o grupo é conhecido por desenvolver seu próprio malware para usar em seus ataques. Eles criaram várias famílias de malware, incluindo o backdoor Manuscrypt, o trojan Fallchill e o ransomware WannaCry.
- Ataques de phishing, eles também usam ataques de phishing para enganar as vítimas e fazê-las clicar em links maliciosos ou baixar arquivos infectados. Os e-mails de phishing podem parecer legítimos e geralmente incluem um link ou anexo que, quando clicado ou baixado, instala malware no computador da vítima.
- Engenharia social, o Lazarus é conhecido por usar técnicas de engenharia social para obter acesso aos sistemas das vítimas. Isso pode incluir o uso de pretextos falsos para obter informações confidenciais, como senhas e nomes de usuário.
- Exploração de vulnerabilidades de segurança, é bem conhecido por explorar vulnerabilidades de segurança conhecidas em sistemas e software para obter acesso não autorizado a redes e sistemas de computador.
Os alvos do grupo Lazarus incluem governos, empresas e organizações em todo o mundo, de setores diversos, incluindo finanças, energia, criptomoedas e mídia. As motivações do grupo podem variar, mas em geral, eles procuram obter informações confidenciais e financeiras para benefício próprio ou para fins políticos.
Modo de operação do Lazarus Group
A cadeia de ataque da ameaça avançada Lazarus Group geralmente envolve diversas etapas, incluindo:
- Reconhecimento – O grupo coleta informações sobre o alvo por meio de técnicas de engenharia social, como phishing, e coleta de informações públicas disponíveis na internet.
- Entrega – Depois de identificar seus alvos, o grupo usa diversas técnicas para entregar sua carga maliciosa, como phishing, engenharia social e exploração de vulnerabilidades em sistemas desatualizados.
- Exploração – Uma vez que a carga maliciosa é entregue com sucesso, o grupo usa técnicas de exploração para obter acesso ao sistema do alvo. Isso pode envolver a exploração de vulnerabilidades de softwares conhecidas, o uso de backdoors previamente instalados ou outros métodos.
- Propagação – Dentro do sistema, o grupo se espalha para outros dispositivos e sistemas dentro da rede do alvo, a fim de garantir acesso persistente e maximizar o impacto do ataque.
- Roubo de informações – O objetivo principal do Lazarus Group é roubar informações sensíveis, como propriedade intelectual, segredos comerciais, dados pessoais e informações financeiras. O grupo usa técnicas avançadas de espionagem para roubar essas informações e transferi-las para seus servidores de comando e controle.
- Ações maliciosas – O grupo pode realizar outras ações maliciosas, como instalar backdoors, criar contas de usuário com privilégios elevados e exfiltrar dados, a fim de manter o acesso e continuar a roubar informações.
Em resumo, o Lazarus Group é um grupo altamente sofisticado que utiliza uma ampla gama de técnicas para realizar seus ataques cibernéticos. A cadeia de ataque pode variar dependendo do alvo específico e do tipo de informação que o grupo está tentando roubar, mas, em geral, essas etapas são comuns a muitos dos ataques do grupo.
Principais alvos do grupo
É importante ressaltar que o grupo Lazarus é conhecido por ter como alvo organizações em todo o mundo, e que esta lista de países não é exaustiva. As motivações do grupo podem variar, mas em geral, eles procuram obter informações confidenciais e financeiras para benefício próprio ou para fins políticos. As empresas e organizações devem tomar medidas para proteger suas redes e sistemas contra-ataques cibernéticos, independentemente de sua localização geográfica.
Técnicas usadas em ataques
O Lazarus Group é conhecido por usar uma variedade de ferramentas de malware e técnicas de hacking em seus ataques, incluindo:
- Backdoors – Para manter o acesso persistente aos sistemas comprometidos.
- RATs (Remote Access Trojans) – Para controlar remotamente os sistemas comprometidos.
- Keyloggers – Para roubar informações de login e outras informações confidenciais.
- Malware bancário – Para roubar informações financeiras e realizar transferências fraudulentas.
- Spear-phishing – Para entregar seu malware aos alvos.
- Malware personalizado – O Lazarus Group é conhecido por criar seu próprio malware personalizado, incluindo o malware Destover usado no ataque à Sony Pictures em 2014.
- Zero-days – O grupo também é conhecido por usar vulnerabilidades de dia zero em seus ataques, que são vulnerabilidades de softwares desconhecidas que ainda não foram corrigidas pelos fabricantes.
O grupo é altamente sofisticado e está em constante evolução, portanto, é provável que o grupo esteja usando novas ferramentas e técnicas que ainda não foram identificadas pelos pesquisadores de segurança.
TTPs – MITRE ATT&CK
| Tática | Técnica | Detalhes |
| Defense Evasion Privilege Escalation | T1134 | O keylogger do Grupo Lazarus, KiloAlfa, obtém tokens de usuário de sessões interativas para executar a si mesmo com chamada de API CreateProcessAsUserAsob o contexto desse usuário. |
| Discovery | T1087 | Consulta aos servidores de diretório ativo da vítima comprometida para obter a lista de funcionários, incluindo contas de administrador. |
| Persistence | T1098 | O malware do Lazarus Group, WhiskeyDelta-Two, contém uma função que tenta renomear a conta do administrador. |
| Resource Development | T1583 | Adquiriu domínios relacionados às suas campanhas para atuar como pontos de distribuição e canais C2. |
| Credential Access Collection | T1557 | Executou o Responder usando o comando [Responder file path] -i [IP address] –rPvem um host comprometido para coletar credenciais e mover lateralmente. |
| Command and Control | T1071 | Condução de C2 sobre HTTP e HTTPS. |
| Collection | T1560 | Comprimiu dados exfiltrados com RAR e usou o malware RomeoDelta para arquivar diretórios específicos no formato .zip, criptografar o arquivo .zip e enviá-lo para C2. |
| Persistence Privilege Escalation | T1547 | Manteve a persistência carregando código malicioso em uma pasta de inicialização ou adicionando uma chave. |
| Credential Access | T1110 | O malware Lazarus Group tenta se conectar aos compartilhamentos do Windows para movimentação lateral usando uma lista gerada de nomes de usuários, que se concentram em permutações do nome de usuário Administrador e senhas fracas. |
| Execution | T1059 | Uso do PowerShell para executar comandos e códigos maliciosos. |
| Persistence Privilege Escalation | T1543 | Várias famílias de malware do Lazarus Group se instalam como novos serviços. |
| Impact | T1485 | Uso de função de exclusão segura personalizada para sobrescrever o conteúdo do arquivo com dados da memória heap. |
| Collection | T1005 | Coleta de dados e arquivos de redes comprometidas. |
| Command and Control | T1001 | Usa uma forma exclusiva de criptografia de comunicação conhecida como FakeTLS, que imita o TLS, mas usa um método de criptografia diferente, evitando potencialmente a inspeção/descriptografia do tráfego SSL. |
| Defense Evasion | T1140 | Uso do shellcode dentro de macros para descriptografar e mapear manualmente DLLs e shellcode na memória em tempo de execução. |
Indicadores de Comprometimento (IoCs)
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | aac5a52b939f3fe792726a13ff7a1747 |
| sha1: | f6760fb1f8b019af2304ea6410001b63a1809f1d |
| sha256: | cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a |
| File name: | sysnetd |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 2ff1688fe866ec2871169197f9d46936 |
| sha1: | 6dc37ff32ea70cbd0078f1881a351a0a4748d10e |
| sha256: | b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9 |
| File name: | 524100.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 38fc56965dccd18f39f8a945f6ebc439 |
| sha1: | 50736517491396015afdf1239017b9abd16a3ce9 |
| sha256: | 32ec329301aa4547b4ef4800159940feb950785f1ab68d85a14d363e0ff2bc11 |
| File name: | sdchange.exe |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 5c0c1b4c3b1cfd455ac05ace994aed4b |
| sha1: | 69cda1f1adeeed455b519f9cf188e7787b5efa07 |
| sha256: | 8a1d57ee05d29a730864299376b830a7e127f089e500e148d96d0868b7c5b520 |
| File name: | provthrd.dll |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | d2da675a8adfef9d0c146154084fff62 |
| sha1: | c55d080ea24e542397bbbfa00edc6402ec1c902c |
| sha256: | f8f7720785f7e75bd6407ac2acd63f90ab6c2907d3619162dc41a8ffa40a5d03 |
| File name: | d2da675a8adfef9d0c146154084fff62.virus |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | f315be41d9765d69ad60f0b4d29e4300 |
| sha1: | f60c2bd78436a14e35a7e85feccb319d3cc040eb |
| sha256: | fe43bc385b30796f5e2d94dfa720903c70e66bc91dfdcfb2f3986a1fea3fe8c5 |
| File name: | xwtpdui.dll |
| Indicadores de compromisso de artefato malicioso/analisado | |
| md5: | 37505b6ff02a679e70885ccd60c13f3b |
| sha1: | 6402fafa0864460fea18a83ec4885bfe179734b2 |
| sha256: | 2fc71184be22ed1b504b75d7bde6e46caac0bf63a913e7a74c3b65157f9bf1df |
| File name: | Binance_Guide (1).doc |
URLs de distribuição e endereços IP C2:
| 109[.]248[.]150[.]13 |
| 192[.]186[.]183[.]133 |
| 54[.]68[.]42[.]4 |
| 84[.]38[.]133[.]145 |
| 104[.]155[.]149[.]103 |
| 40[.]121[.]90[.]194 |
| 185[.]29[.]8[.]162 |
| 46[.]183[.]221[.]109 |
| 84[.]38[.]133[.]145 |
Obs.: Os links e endereços IP elencados acima podem estar ativos. Cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.
Como se proteger do Lazarus Group
Além dos indicadores de comprometimento elencados acima, poderão ser adotadas medidas visando a mitigação contra a ameaça, como por exemplo:
- Mantenha o software atualizado, certifique-se de que todos os seus sistemas operacionais, aplicativos e programas tenham as versões mais recentes e aplique regularmente as atualizações de segurança disponibilizadas pelos fornecedores. Isso ajuda a corrigir vulnerabilidades conhecidas e reduzir a superfície de ataque.
- Utilize uma solução antivírus confiável, instale e mantenha atualizado um software antivírus robusto em todos os seus dispositivos. Isso ajudará a detectar e remover malware, incluindo os utilizados pelo Lazarus Group.
- Fortaleça as senhas, utilize senhas fortes e únicas para todas as suas contas e evite reutilizá-las. Considere o uso de gerenciadores de senhas para ajudar a lembrar e proteger suas credenciais.
- Esteja atento a phishing, o Lazarus Group muitas vezes utiliza e-mails de phishing para distribuir malware. Portanto, tenha cuidado ao abrir anexos ou clicar em links de e-mails suspeitos. Verifique sempre a autenticidade dos remetentes antes de fornecer informações confidenciais.
- Utilize autenticação de dois fatores (2FA), ative a autenticação de dois fatores sempre que possível, pois isso adiciona uma camada extra de segurança ao exigir uma segunda forma de autenticação além da senha, como um código enviado para o seu dispositivo móvel.
- Faça backups regularmente, realize backups periódicos de seus dados importantes e verifique se eles estão armazenados em locais seguros e fora do alcance de ataques cibernéticos. Isso ajudará a minimizar os danos causados por ataques de ransomware ou perda de dados.
- Eduque os usuários, treine você e sua equipe sobre as melhores práticas de segurança cibernética, como reconhecer sinais de um ataque de phishing, evitar o download de arquivos suspeitos e manter a cautela ao navegar na internet.
- Monitore atividades suspeitas, esteja atento a qualquer atividade incomum em seus sistemas, como comportamento anormal ou tráfego de rede suspeito. Utilize ferramentas de monitoramento e detecção de intrusões para identificar possíveis comprometimentos.
- Estabeleça uma política de segurança, implemente políticas de segurança claras e rigorosas em sua organização. Isso inclui restrições ao acesso a informações confidenciais, uso de dispositivos pessoais e diretrizes para lidar com incidentes de segurança.
Referências
- Heimdall by ISH Tecnologia
- Mandiant
- Malwarebytes
- thehackernews