Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers Lazarus APT atacam organiza√ß√£o japonesa usando ferramenta SMB remota ‚ÄúSMBMAP‚ÄĚ ap√≥s invas√£o de rede

Pesquisadores do JPCERT/CC observaram que os hackers APT mais perigosos do mundo atacam organiza√ß√Ķes japonesas com diferentes malwares durante e ap√≥s a intrus√£o na rede alvo.

Lazarus também conhecido como Hidden Cobra é um grupo de hackers APT norte-coreano que esteve envolvido em vários ataques cibernéticos de alto perfil em vários setores governamentais e privados em todo o mundo desde 2009.

Acredita-se que o grupo de hackers Lazarus esteja trabalhando sob a organização de hackers patrocinada pelo estado norte-coreano Bureau Geral de Reconhecimento e usando vários métodos de ataque, como Zerodays, spearphishing, malware, desinformação, backdoors, droppers.

Os invasores usam o malware ofuscado para o ataque cont√≠nuo contra organiza√ß√Ķes japonesas com algumas das funcionalidades sofisticadas para obter acesso √† rede para diversas atividades maliciosas.

Um dos Processo de infecção por malware

A fase inicial da infecção começa com o download e executa os módulos de configuração e armazenados na pasta específica C:¥Windows¥Sistema32¥.

Os invasores adicionaram alguns arquivos desnecessários e os agruparam como ZIP, que contém mais de 150 MB dados, e o arquivo é ofuscado usando VMProtect.

O arquivo de configuração inicial do malware é completamente criptografado, posteriormente é armazenado na entrada do registro e carregado automaticamente quando o malware é executado.

Aqui está o comportamento completo do malware, configuração, formato de comunicação e módulos.

Os invasores criptografaram todas as strings do malware com AES128 e codificaram a chave de criptografia.

De acordo com o JPCERT/CC Relat√≥rio ‚ÄúComo o malware converte a string de 16 letras em caracteres largos (32 bytes), apenas os primeiros 16 bytes s√£o usados ‚Äč‚Äčcomo chave.‚ÄĚ

‚ÄúWindows O nome da API tamb√©m √© criptografado por AES. Depois de descriptografar as strings de API, os endere√ßos das APIs chamadas por LoadLibrary e GetProcAddress s√£o resolvidos.‚ÄĚ

N√≥s recomendamos:  Proibi√ß√Ķes na R√ļssia Instagram Por permitir discurso de √≥dio contra Putin

Ap√≥s a infec√ß√£o bem-sucedida do malware, envie a solicita√ß√£o HTTP ao servidor C2 com as seguintes informa√ß√Ķes: ‚Äď

Posteriormente, o malware se concentra em baixar um módulo do servidor C2 por meio de várias tentativas de comunicação. uma vez baixado com sucesso, ele solicita o comando do servidor C2 para onde os invasores enviam os comandos específicos.

O download do m√≥dulo ter√° as diversas funcionalidades a seguir: –

  • Opera√ß√£o em arquivos (criar uma lista, excluir, copiar, modificar hora de cria√ß√£o)
  • Opera√ß√£o em processos (criar uma lista, executar, matar)
  • Carregar/baixar arquivos
  • Crie e carregue um arquivo ZIP de um diret√≥rio arbitr√°rio
  • Execute comando shell arbitr√°rio
  • Obtenha informa√ß√Ķes do disco
  • Modificar a hora do sistema

Finalmente, os invasores espalharam a infec√ß√£o e aproveitaram as informa√ß√Ķes da conta com a ajuda da ferramenta Python ‚ÄúSMBMAP‚ÄĚque permite acesso ao host remoto via SMB ap√≥s convert√™-lo como um Windows Arquivo PE com Pyinstaller.

Você pode obter detalhes sobre o Indicador de Compromisso aqui.

Voc√™ pode nos seguir em Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de not√≠cias sobre seguran√ßa cibern√©tica e hackers.