APT Group Lazarus tem como alvo empresas de defesa. O malware 'ThreatNeedle' também ataca redes restritas sem acesso à Internet.
Os pesquisadores da Kaspersky identificaram uma nova campanha, anteriormente desconhecida, do ator de ameaças avançadas Lazarus. Desde o início de 2020, tem como alvo empresas da indústria de defesa com o backdoor personalizado 'ThreatNeedle'. O backdoor se move lateralmente pelas redes infectadas e coleta informações confidenciais. Lazarus pode roubar dados de TI e redes restritas.
Grupo Lázaro ativo desde 2009
Lazarus é um ator de ameaças prolífico que está ativo desde pelo menos 2009. O grupo é conhecido por campanhas de espionagem cibernética e ransomware em larga escala, bem como por ataques ao mercado de criptomoedas. Os ataques atuais também foram identificados em conexão com o Covid-19 e a pesquisa de vacinas. Embora a Lazarus tenha focado em instituições financeiras nos anos anteriores, desde o início de 2020 a indústria de defesa parece ter sido o foco das atividades.
Incidente de backdoor expõe ThreatNeedle
Os pesquisadores da Kaspersky tomaram conhecimento dessa nova campanha quando foram chamados para dar suporte a uma resposta a um incidente. Após a análise, ficou claro que a organização foi vítima de um backdoor personalizado, um tipo de malware que permite o controle remoto total do dispositivo. Apelidado de ThreatNeedle, esse backdoor se move lateralmente pelas redes infectadas e extrai informações confidenciais. Até agora, organizações em mais de uma dúzia de países foram afetadas. A Kaspersky descobriu vários hosts da Europa, América do Norte, Oriente Médio e Ásia que se conectaram à infraestrutura do invasor.
Esquema e abordagem de infecção do ThreatNeedle
A infecção inicial ocorre por meio de e-mails de spear phishing que contêm um anexo do Word malicioso ou um link para um hospedado em servidores corporativos. Os e-mails, muitas vezes disfarçados de atualizações urgentes relacionadas à pandemia de coronavírus, supostamente vieram de um centro médico respeitável.
Se o documento malicioso for aberto, o malware é executado e segue para a próxima etapa do processo de entrega. O malware ThreatNeedle usado pertence à família de malware 'Manuscrypt', atribuído ao grupo Lazarus e usado anteriormente em ataques contra empresas de criptomoedas. Uma vez instalado, o ThreatNeedle obtém controle total sobre o dispositivo da vítima - desde a edição de arquivos até a execução de comandos recebidos.
Roubo de dados das redes de TI do escritório
Usando o ThreatNeedle, o Lazarus pode roubar dados das redes de TI do escritório (uma rede de computadores com acesso à Internet) e de uma rede restrita de uma fábrica ou instalação (uma rede de recursos críticos para os negócios e computadores com dados altamente confidenciais e bancos de dados sem acesso à Internet) . De acordo com as políticas das empresas atacadas, nenhuma informação pode ser transmitida entre essas duas redes. No entanto, os administradores podem se conectar a qualquer rede para manutenção do sistema. O Lazarus conseguiu assumir o controle das estações de trabalho do administrador e configurar um gateway malicioso para atacar a rede restrita e roubar e extrair dados confidenciais de lá.
Leia mais no canal ICS da Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/