Durante a sua conferência anual, a ESET apresentou os resultados de uma investigação realizada ao Grupo Lazarus, sobre os seus ataques realizados entre finais de 2021 e março de 2022. De acordo com a ferramenta ESET Telemetry, o grupo atingiu empresas ligadas à área da defesa na Europa (França, Itália, Espanha, Alemanha, República Checa, Holanda, Polónia e Ucrânia), assim como a Turquia e Qatar no Médio Oriente e o Brasil na América Latina. O grupo de hackers recorreu a uma campanha de recrutamento falso para as respetivas empresas, usando serviços como o LinkedIn e WhatsApp para infetar os alvos.
O grupo, associado pelo Governo dos Estados Unidos ao regime da Coreia do Norte, tinha como principal objetivo a ciberespionagem, mas também operações de movimentar dinheiro, este caso sem sucesso, disse a ESET. “O Grupo Lazarus mostrou criatividade ao lançar um conjunto de ferramentas interessante, que inclui, por exemplo, um modo de componente de utilizador capaz de explorar a vulnerabilidade do driver da Dell, de forma a escrever na memória do kernel. Este truque avançado foi usado numa tentativa de ultrapassar as soluções de monitorização de segurança”, salientou Jean-Ian Boutin, diretor da ESET Threat Research.
Não foi a primeira vez que a ESET documentou campanhas feitas por um subgrupo da Lazarus contra empresas europeias ligadas ao aeroespaço e defesa, que a especialista chamou de operação In(ter)ception. A campanha utilizou as redes sociais, sobretudo o LinkedIn para ajudar a construir confiança entre os atacantes e os empregados que não suspeitavam dos ataques, antes de lhes serem enviados os componentes maliciosos disfarçados de descrições de trabalho ou aplicações.
Os investigadores acreditavam que a campanha estava apontada a alvos europeus, mas os ataques dos subgrupos da Lazarus contra outras empresas de defesa, chegou-se à conclusão que a extensão era bem maior. Se o tipo de malware era diferente nas diversas campanhas, o modus operandi foi sempre o mesmo: um recrutador falso abordava um candidato através do LinkedIn para lhe enviar componentes infetados.
A ESET refere ainda que foram reutilizados elementos legítimos de campanhas de contratação para ajudar a legitimar os seus ataques. Foram ainda adicionadas as plataformas WhatsApp ou Slack nas suas campanhas maliciosas.
No seu relatório, a ESET disse que em 2021 o Departamento de Justiça dos Estados Unidos acusou programadores de TI de ciberataques, estando a trabalhar para o regime militar da Coreia do Norte, pertencentes ao Grupo Lazarus.
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários