Grupo Lazarus rastreado em ataques na Coreia do Sul

O grupo Lazarus foi rastreado em novas campanhas de ataques na Coreia do Sul. Os ataques foram viabilizados por meio de uso de certificados digitais roubados.

Pesquisadores da ESET acabam de revelar o abuso de certificados digitais roubados de duas empresas sul-coreanas.

Lazaro é um termo genérico para referenciar um conjunto de grupos de crime cibernéticos suspeitos de estarem relacionados à Coreia do Norte. 

Neste ataque, o Lazarus está explorando um requisito que usuários de Internet sul-coreanos necessitam atender para acessar sites do governo e de instituições financeiras. Tipicamente, tais usuários são requisitados a fazer download do WIZVERA VeraPort, que por sua vez gerencia updates que incluem plugins, módulos de segurança e ferramentas de verificação de identidade necessários para visitar determinados domínios.

Como o WIZVERA VeraPort verifica os downloads, é difícil que atacantes consigam modificar tais arquivos ou criar sites falsos. No entanto, caso o atacante possua certificados legítimos roubados, é possível que ele possa substituir o software entregue aos usuários do WIZVERA VeraPort a partir de um site legítimo – mas comprometido. O diagrama a seguir, retirado da publicação original dos pesquisadores da ESET, resume como funciona o esquema.

screenshot-2020-11-16-at-08-20-39.png

Até o momento, dois exemplares de malware foram detectados. Se uma vítima visita um site malicioso e faz o download do software comprometido, uma conexão é estabelecida com o servidor de comando-e-controle do atacantes e a carga útil final, um Trojan de Acesso Remoto (Remote Trojan Access) é instalado na máquina vítima.

O ataque está detalhadamente descrito na publicação original pelos pesquisadores da ESET. Mais informações podem ser obtidas na reportagem feita pela ZDNet. Para conhecer mais sobre o grupo Lazarus, consulte as páginas sobre o grupo na Kaspersky e na Wikipedia, e as referências lá mencionadas.

Artigo baseado nas informações obtidas em https://www.welivesecurity.com/2020/11/16/lazarus-supply-chain-attack-south-korea/ e https://www.zdnet.com/article/lazarus-malware-strikes-south-korean-supply-chains/