Durante a sua conferência anual, a ESET apresentou os resultados de uma investigação realizada ao Grupo Lazarus, sobre os seus ataques realizados entre finais de 2021 e março de 2022. De acordo com a ferramenta ESET Telemetry, o grupo atingiu empresas ligadas à área da defesa na Europa (França, Itália, Espanha, Alemanha, República Checa, Holanda, Polónia e Ucrânia), assim como a Turquia e Qatar no Médio Oriente e o Brasil na América Latina. O grupo de hackers recorreu a uma campanha de recrutamento falso para as respetivas empresas, usando serviços como o LinkedIn e WhatsApp para infetar os alvos.

O grupo, associado pelo Governo dos Estados Unidos ao regime da Coreia do Norte, tinha como principal objetivo a ciberespionagem, mas também operações de movimentar dinheiro, este caso sem sucesso, disse a ESET. “O Grupo Lazarus mostrou criatividade ao lançar um conjunto de ferramentas interessante, que inclui, por exemplo, um modo de componente de utilizador capaz de explorar a vulnerabilidade do driver da Dell, de forma a escrever na memória do kernel. Este truque avançado foi usado numa tentativa de ultrapassar as soluções de monitorização de segurança”, salientou Jean-Ian Boutin, diretor da ESET Threat Research.

ESET
Exemplo de campanha de recrutamento falso realizado pelo Grupo Lazarus. Crédito: ESET

Não foi a primeira vez que a ESET documentou campanhas feitas por um subgrupo da Lazarus contra empresas europeias ligadas ao aeroespaço e defesa, que a especialista chamou de operação In(ter)ception. A campanha utilizou as redes sociais, sobretudo o LinkedIn para ajudar a construir confiança entre os atacantes e os empregados que não suspeitavam dos ataques, antes de lhes serem enviados os componentes maliciosos disfarçados de descrições de trabalho ou aplicações.

Os investigadores acreditavam que a campanha estava apontada a alvos europeus, mas os ataques dos subgrupos da Lazarus contra outras empresas de defesa, chegou-se à conclusão que a extensão era bem maior. Se o tipo de malware era diferente nas diversas campanhas, o modus operandi foi sempre o mesmo: um recrutador falso abordava um candidato através do LinkedIn para lhe enviar componentes infetados.

A ESET refere ainda que foram reutilizados elementos legítimos de campanhas de contratação para ajudar a legitimar os seus ataques. Foram ainda adicionadas as plataformas WhatsApp ou Slack nas suas campanhas maliciosas.

No seu relatório, a ESET disse que em 2021 o Departamento de Justiça dos Estados Unidos acusou programadores de TI de ciberataques, estando a trabalhar para o regime militar da Coreia do Norte, pertencentes ao Grupo Lazarus.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.