Ataques do Grupo Lazarus às Indústrias de Manufatura e Elétrica na Europa
Índice:
O infame grupo APT Lazarus (também conhecido como HiddenCobra, APT37) foi novamente avistado agitando o mundo cibernético. Desta vez, analistas de segurança revelaram uma campanha de ciberespionagem altamente direcionada, visando grandes empresas dos setores de manufatura e elétrico em toda a Europa.
Conjunto de Ferramentas e Cenário de Ataque Lazarus
O vetor de ataque inicial usado pelos hackers do Lazarus foi semelhante ao empregado na Operação North Star visando contratantes de defesa e aeroespacial. Em particular, os cibercriminosos desenvolveram táticas abrangentes de engenharia social no LinkedIn para atrair vítimas. Os atacantes se faziam passar por gerentes de RH legítimos de empresas internacionais líderes para ganhar a confiança e convencer os funcionários a abrir anexos de spear-phishing nos dispositivos corporativos. Caso executados, documentos maliciosos do Word ou arquivos ISO deixavam um pacote de malware nas redes-alvo para fornecer aos hackers a capacidade de se mover lateralmente e realizar reconhecimento interno. Na maioria dos casos, os atores da ameaça usaram uma versão personalizada do Mimikatz para captura de credenciais juntamente com exploits conhecidos (por exemplo, EternalBlue) para obter persistência e escalar seus privilégios. Em seguida, os atacantes implantaram o BLINDINGCAN/DRATzarus RAT para buscar dados sensíveis. Os hackers do Lazarus exfiltraram informações sensíveis por meio de uma infraestrutura complexa de C&C baseada em sites comprometidos, o que permitiu aos membros do APT escapar da detecção. Notavelmente, a maioria dos sites foi abusada via exploits públicos. Como os pesquisadores de segurança concluem, a campanha foi bastante prolongada (fevereiro-novembro de 2020) e particularmente voltada à ciberespionagem, já que nenhum dano direto foi causado às redes comprometidas.
Conteúdo de Detecção para Ataque Lazarus
Emir Erdogan desenvolveu uma regra Sigma exclusiva para a detecção da última campanha APT Lazarus, que já está disponível no Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Persistência
Técnica: Chaves de Execução do Registro / Pasta de Inicialização (T1060)
Visão Geral do Grupo Lazarus
O grupo Lazarus da Coreia do Norte é conhecido como um dos atores mais prolíficos, tanto em termos de campanhas motivadas financeiramente quanto em ataques políticamente orientados a favor do governo de Kim Jong-un. O grupo está ativo desde 2009, estando por trás de incidentes cibernéticos importantes como a violação de segurança da Sony Pictures em 2014, o assalto ao Banco Central de Bangladesh em 2016, e o ataque WannaCry em 2017. 2020 também foi frutífero para o Lazarus. Os hackers estiveram envolvidos em uma campanha lucrativa contra corretoras de criptomoeda, operações de ciberespionagem voltadas a grandes empresas internacionais e ataques direcionados contra empresas farmacêuticas desenvolvendo vacinas COVID-19.
Busca pelo melhor conteúdo de SOC compatível com suas soluções de segurança? Obtenha uma assinatura gratuita do nosso Threat Detection Marketplace. Gosta de programar e quer contribuir para iniciativas de caça a ameaças? Junte-se ao Threat Bounty Program da SOC Prime por um futuro mais seguro!
