Grupo norte-coreano Lazarus utiliza malware avançado em golpes de emprego
Summary:
O grupo norte-coreano Lazarus está implantando um malware mais avançado, apelidado de LightlessCan, em seus golpes de trabalho falso, tornando a detecção significativamente mais desafiadora. Detectada pela primeira vez em um ataque a uma empresa aeroespacial espanhola, a carga útil atualizada tem recursos inovadores que aumentam sua discrição e a protegem de descriptografia não intencional por analistas de segurança. Os hackers normalmente iscam as vítimas com falsas ofertas de emprego lucrativas e as enganam para baixar uma carga maliciosa. Desde 2016, hackers norte-coreanos teriam roubado cerca de US$ 3,5 bilhões de projetos de criptomoedas.
O grupo de hackers norte-coreanos, Lazarus Group, tem empregado malware avançado em seus chamados golpes de emprego, representando um desafio maior para a detecção do que sua iteração anterior. Em 29 de setembro, Peter Kálnai, um investigador sênior de malware da ESET, detalhou sua análise de um recente golpe de recrutamento falso direcionado a uma empresa aeroespacial espanhola, onde um backdoor não registrado anteriormente chamado LightlessCan foi identificado.
A MO para a fraude de recrutamento do Grupo Lazarus geralmente envolve atrair as vítimas com uma oportunidade de trabalho potencialmente lucrativa em uma empresa respeitável. Os candidatos desavisados são então enganados para baixar uma carga prejudicial disfarçada de documentos, o que causa estragos em seus sistemas. No entanto, Kálnai destacou que a nova carga útil LightlessCan representa uma "grande atualização" de sua contraparte mais antiga, BlindingCan.
LightlessCan imita vários comandos nativos do Windows, facilitando a execução furtiva dentro do RAT, em oposição a execuções de console conspícuas. "Este método fornece um benefício considerável em termos de evasividade, ajudando a evitar soluções de vigilância em tempo real, como EDRs, e a frustrar ferramentas forenses digitais pós-incidente", comentou.
A carga útil atualizada também incorpora o que Kálnai chama de "guardrails de execução", garantindo que a carga útil só possa ser decodificada no sistema da vítima destinada, contornando assim a descriptografia não intencional por analistas de segurança. O novo malware foi detectado pela primeira vez em um ataque a uma empresa aeroespacial espanhola, onde um funcionário recebeu uma mensagem de um recrutador fictício da Meta, Steve Dawson, em 2022. Os hackers rapidamente enviaram um par de desafios de codificação descomplicados ligados ao malware.
A ciberespionagem foi o principal impulso para o ataque do Lazarus Group à empresa espanhola, acrescentou Kálnai. Relatórios estimam que hackers norte-coreanos roubaram aproximadamente US$ 3,5 bilhões de projetos de criptomoedas desde 2016, conforme relatado pela empresa forense de blockchain Chainalysis em 14 de setembro. No ano anterior, a empresa de cibersegurança SentinelOne sinalizou um golpe de emprego no LinkedIn, onde as vítimas recebiam ofertas de emprego em Crypto.com, sob uma operação chamada "Dream Job".
Enquanto isso, as Nações Unidas estão fazendo esforços conjuntos para conter as atividades cibercriminosas da Coreia do Norte no cenário global, dado o entendimento de que a Coreia do Norte está desviando os fundos ilícitos para sustentar sua iniciativa de mísseis nucleares.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.