Hackers Norte-coreanos Dependem de Redes Sociais para Alvejar Pesquisadores de Segurança
Índice:
Analistas de ameaças do Google alertam para uma campanha maliciosa atual direcionada a pesquisadores de vulnerabilidades e membros da Red Team. Supostamente, um ator apoiado pela nação norte-coreana está por trás dessa operação, utilizando novos métodos de engenharia social para abordar praticantes de segurança individual através de perfis falsos em redes sociais.
Ataque Contra Pesquisadores de Segurança
Visão geral da campanha do Google Threat Analysis Group (TAG) estima que o coletivo apoiado pela nação norte-coreana criou um blog dedicado e uma ampla rede de contas falsas em redes sociais para infectar entusiastas de caça a ameaças com malware. Em particular, os atores da ameaça se passaram por pesquisadores que trabalham em detecção de vulnerabilidades e desenvolvimento de exploits para conquistar confiança e iniciar uma conversa online com seus supostos colegas.
Os hackers decidiram cobrir o máximo possível de canais de comunicação, criando contas no Twitter, LinkedIn, Telegram, Keybase e Discord. Algumas das tentativas foram realizadas até mesmo por e-mails.
Uma vez fisgados no chat, os adversários propuseram que os pesquisadores cooperassem na análise de bugs e enviaram-lhes um projeto Visual Studiocontaminado com malware que visava claramente a entrega de um Trojan backdoor, proporcionando aos hackers controle sobre o PC alvo. Além disso, os usuários foram incentivados a visitar um blog. O blog continha artigos sobre análise de exploits e vídeos fictícios sobre supostas provas de conceito (PoC) de exploits em ação, promovendo especialistas alvo a comentarem sobre o conteúdo. No entanto, no caso de visitarem, o site deixava um código malicioso em todas as instâncias que acessavam esta página.
Notavelmente, até mesmo usuários da versão mais recente do Windows 10 executando um navegador Chrome completamente atualizado encontraram seus dispositivos comprometidos. A investigação está em andamento, no entanto, os especialistas consideram que os atores da ameaça utilizaram um conjunto de 0-days para Windows 10 e Chrome para infectar as vítimas com seus Trojans personalizados. O software malicioso possui muito em comum com as ferramentas do infame grupo Lazarus que trabalha em nome do governo norte-coreano.
O principal objetivo desta operação, lançada há vários meses, parece transparente. Os adversários desenvolveram uma nova isca de engenharia social para enganar especialistas e enriquecer o kit de ferramentas maliciosas com vulnerabilidades até então não detectadas. Com dados tão valiosos, os atores APT podem alcançar uma vantagem sem precedentes ao atacar alvos de alto nível, sem custos ou tempo gasto no desenvolvimento de exploits.
Detecção de Ataque
Este ataque notório ainda está sob investigação, então todos os analistas de segurança afetados são instados a compartilhar seus insights e dados adicionais com a comunidade. Para melhorar a defesa contra a intrusão, a equipe da SOC Prime lançou urgentemente conteúdo de detecção, para que todos os pesquisadores suspeitando de possível abuso pudessem verificar seus sistemas quanto ao comprometimento. Sinta-se livre para baixar uma regra Sigma correspondente em nossa plataforma Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Utilitários de Desenvolvedor Confiável (T1127)
Além disso, fique por dentro das últimas contribuições dos nossos desenvolvedores do Threat Bounty voltadas para a defesa proativa contra essa ameaça:
Campanha Norte-Coreana Alvejando Pesquisadores de Segurança
Grupo Lazarus Alvejando Pesquisadores de Segurança (via sysmon)
Atualização 29/01/2021: A Microsoft lançou um relatório detalhado, fornecendo detalhes técnicos adicionais sobre a cadeia de ataque. Para abordar novos desafios revelados durante a investigação, nosso engenheiro de caça a ameaças e palestrante no Security Talks com a SOC Prime, Adam Swan, desenvolveu uma regra de detecçãoadicional. Abrimos esta regra SIGMA premium gratuitamente, para que todos possam buscar por argumentos não usuais do rundll32 e detectar o dropper malicioso. Fique seguro!
LOLBAS rundll32 Sem Argumentos Esperados (via cmdline)
Acompanhe os próximos lançamentos do Threat Detection Marketplace para não perder novos itens de conteúdo da SOC relacionados a esta campanha ilusória. Todas as detecções afiliadas serão adicionadas a este post do blog.
Inscreva-se no Threat Detection Marketplace gratuitamente e mantenha-se informado com o conteúdo de SOC mais relevante, projetado para resistir a ataques cibernéticos nas fases mais iniciais de seu ciclo de vida. Interessado em participar de iniciativas globais de caça a ameaças? Junte-se ao nosso Programa Threat Bounty e seja recompensado por sua contribuição.
