Pesquisadores do JPCERT/CC observaram que os hackers APT mais perigosos do mundo atacam organizações japonesas com diferentes malwares durante e após a intrusão na rede alvo.
Lazarus também conhecido como Hidden Cobra é um grupo de hackers APT norte-coreano que esteve envolvido em vários ataques cibernéticos de alto perfil em vários setores governamentais e privados em todo o mundo desde 2009.
Acredita-se que o grupo de hackers Lazarus esteja trabalhando sob a organização de hackers patrocinada pelo estado norte-coreano Bureau Geral de Reconhecimento e usando vários métodos de ataque, como Zerodays, spearphishing, malware, desinformação, backdoors, droppers.
Os invasores usam o malware ofuscado para o ataque contínuo contra organizações japonesas com algumas das funcionalidades sofisticadas para obter acesso à rede para diversas atividades maliciosas.
Um dos Processo de infecção por malware
A fase inicial da infecção começa com o download e executa os módulos de configuração e armazenados na pasta específica C:¥Windows¥Sistema32¥.
Os invasores adicionaram alguns arquivos desnecessários e os agruparam como ZIP, que contém mais de 150 MB dados, e o arquivo é ofuscado usando VMProtect.
O arquivo de configuração inicial do malware é completamente criptografado, posteriormente é armazenado na entrada do registro e carregado automaticamente quando o malware é executado.
Aqui está o comportamento completo do malware, configuração, formato de comunicação e módulos.
Os invasores criptografaram todas as strings do malware com AES128 e codificaram a chave de criptografia.
De acordo com o JPCERT/CC Relatório “Como o malware converte a string de 16 letras em caracteres largos (32 bytes), apenas os primeiros 16 bytes são usados como chave.”
“Windows O nome da API também é criptografado por AES. Depois de descriptografar as strings de API, os endereços das APIs chamadas por LoadLibrary e GetProcAddress são resolvidos.”
Após a infecção bem-sucedida do malware, envie a solicitação HTTP ao servidor C2 com as seguintes informações: –
Posteriormente, o malware se concentra em baixar um módulo do servidor C2 por meio de várias tentativas de comunicação. uma vez baixado com sucesso, ele solicita o comando do servidor C2 para onde os invasores enviam os comandos específicos.
O download do módulo terá as diversas funcionalidades a seguir: –
- Operação em arquivos (criar uma lista, excluir, copiar, modificar hora de criação)
- Operação em processos (criar uma lista, executar, matar)
- Carregar/baixar arquivos
- Crie e carregue um arquivo ZIP de um diretório arbitrário
- Execute comando shell arbitrário
- Obtenha informações do disco
- Modificar a hora do sistema
Finalmente, os invasores espalharam a infecção e aproveitaram as informações da conta com a ajuda da ferramenta Python “SMBMAP”que permite acesso ao host remoto via SMB após convertê-lo como um Windows Arquivo PE com Pyinstaller.
Você pode obter detalhes sobre o Indicador de Compromisso aqui.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
