Os investigadores da ESET, empresa europeia líder em soluções de cibersegurança, descobriram e analisaram uma série de ferramentas maliciosas usadas pelo grupo APT (advanced persistent threat) conhecido por Lazarus em ciberataques executados no final de 2021.
A campanha começou com mensagens de phishing contendo documentos maliciosos referindo a Amazon, cujos alvos foram um funcionário de uma empresa aerospacial nos Países Baixos e um jornalista de política na Bélgica. O objetivo principal dos atacantes era o roubo de dados. Ambas as vítimas foram aliciadas com ofertas de emprego: o funcionário nos Países Baixos recebeu um anexo via LinkedIn e o jornalista na Bélgica recebeu um documento via email. Os ataques começaram depois dos documentos serem abertos.
Os atacantes carregaram várias ferramentas maliciosas nos sistemas, incluindo droppers, loaders, backdoors HTTP(S) e uploaders HTTP(S). A mais notável foi um módulo que obtinha a capacidade de ler e escrever na memória do kernel devido à vulnerabilidade CVE-2021-21551 num controlador legítimo da Dell. Esta vulnerabilidade afeta controladores Dell DBUtil e foi resolvida com uma atualização de segurança da Dell em maio de 2021. Esta foi a primeira vez que foi registada a exploração desta vulnerabilidade num caso real.
“Os atacantes usaram o seu acesso de escrita à memória do kernel para desativar sete mecanismos que o sistema operativo Windows oferece para monitorizar as suas ações, como o registry, sistema de ficheiros, criação de processos, rastreamento de eventos, etc., basicamente cegando soluções de segurança de forma muito genérica e robusta,” explicou o investigador da ESET Peter Kálnai, que descobriu a campanha. “Não foi só feito no espaço do kernel, mas também de forma mais profunda, usando uma série de particularidades pouco ou nada documentadas do Windows. Sem dúvida que isto requereu capacidades avançadas de pesquisa, desenvolvimento e análise,” acrescentou.
O grupo Lazarus usou também uma backdoor HTTP(S) conhecida por BLINDINGCAN. Segundo a ESET, este RAT (remote access trojan) tem um complexo controlador do lado do servidor juntamente com uma interface de utilizador acessível através da qual um operador pode controlar e explorar os sistemas comprometidos.
No caso dos Países Baixos, o ataque afetou um computador com Windows 10 ligado à rede empresarial, onde o funcionário foi contactado via LinkedIn sobre uma potencial oferta de emprego, resultando no envio de um anexo. O ficheiro Word Amzon_Netherlands.docx enviado à vítima consistia num documento em branco com o logótipo da Amazon que ia buscar um template remoto ao ser aberto, despoletando o ataque. Os investigadores da ESET não conseguiram adquirir o template remoto, mas assumem que continha uma oferta de emprego falsa para o programa espacial Project Kuiper da Amazon. Este foi o método usado pelo grupo Lazarus nas campanhas Operation In(ter)ception e Operation DreamJob cujos alvos eram empresas aerospaciais e da indústria da defesa. O ataque na Bélgica também envolvia um documento Word enviado em anexo, com o nome AWS_EMEA_Legal_.docx, mas foi rapidamente bloqueado pelas soluções antimalware da ESET instaladas no computador onde o documento foi aberto.
“Neste ataque, bem como em muitos outros atribuídos ao grupo Lazarus, verificámos que muitas das ferramentas foram distribuídas num único endpoint específico numa rede de interesse. Sem dúvida que a equipa por detrás do ataque é extensa, sistematicamente organizada e muito bem preparada,” disse Kálnai.
Os investigadores da ESET atribuem estes ataques ao grupo Lazarus com elevada probabilidade. Também conhecido por HIDDEN COBRA, o grupo está ativo desde pelo menos 2009, sendo responsável por vários incidentes de alto perfil. Para mais detalhes técnicos sobre estes ataques, leia este artigo em inglês no blog WeLiveSecurity da ESET.