Kaspersky expõe nova campanha Lazarus que explora software legítimo

Kaspersky expõe nova campanha Lazarus que explora software legítimo

Uma nova campanha do infame grupo Lazarus dirigida a organizações de todo o mundo foi descoberta pela Equipa de Investigação e Análise (GReAT) da Kaspersky. A investigação apresentada no Security Analyst Summit (SAS) revelou uma sofisticada campanha APT distribuída através de malware e disseminada através de software legítimo.

A equipa GReAT identificou uma série de incidentes cibernéticos que envolviam alvos infetados através de software legítimo concebido para encriptar a comunicação na Web utilizando certificados digitais. Apesar de as vulnerabilidades terem sido comunicadas e corrigidas, as organizações de todo o mundo continuaram a utilizar a versão defeituosa do software, proporcionando um ponto de entrada para o infame grupo Lazarus.

Este grupo demonstrou um elevado nível de sofisticação, empregando técnicas avançadas de evasão e implantando um malware "SIGNBT" para controlar as vítimas. Aplicou também a já conhecida ferramenta LPEClient, anteriormente utilizada para atacar empresas do sector da defesa, engenheiros nucleares e o sector das criptomoedas. Este malware atua como o ponto inicial de infeção e desempenha um papel crucial na definição do perfil da vítima e na entrega do payload. As observações dos investigadores da Kaspersky indicam que o papel do LPEClient neste e noutros ataques se alinha com as táticas utilizadas pelo grupo Lazarus, como também se viu no famoso ataque à cadeia de abastecimento 3CX.

Uma investigação mais aprofundada revelou que o malware Lazarus já tinha visado a vítima inicial, um fornecedor de software, várias vezes antes. Este padrão de ataques recorrentes indica um adversário determinado e concentrado, provavelmente com a intenção de roubar código-fonte crítico ou perturbar a cadeia de fornecimento de software. O agente da ameaça explorou consistentemente vulnerabilidades no software da empresa e alargou o seu âmbito de ação, visando outras empresas que utilizavam a versão não corrigida do software. A solução Endpoint Security da Kaspersky identificou a ameaça de forma proativa e evitou ataques futuros contra outros alvos.

"A atividade contínua do grupo Lazarus é um testemunho das suas capacidades avançadas e da sua motivação inabalável. Operam a uma escala global, visando uma vasta gama de indústrias com um conjunto diversificado de métodos. Isto significa uma ameaça contínua e em evolução que exige uma vigilância acrescida," refere Seongsu Park, Investigador de Segurança Principal na Equipa de Investigação e Análise Global da Kaspersky.

Para mais informações acerca desta campanha, visite Securelist.com.

Para evitar ser vítima de um ataque direcionado por um ator de ameaças conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:

· Actualize regularmente o seu sistema operativo, aplicações e software antivírus para corrigir quaisquer vulnerabilidades conhecidas.

· Seja cauteloso com e-mails, mensagens ou chamadas que peçam informações confidenciais. Verifique a identidade do remetente antes de partilhar quaisquer dados pessoais ou clicar em ligações suspeitas.

· Forneça à sua equipa SOC acesso à mais recente inteligência contra ameaças (TI). O Portal de Inteligência contra Ameaças Kaspersky é um ponto único de acesso à TI da empresa, fornecendo dados de ataques cibernéticos e percepções reunidas pela Kaspersky ao longo de mais de 20 anos.

· Melhore as competências da sua equipa de cibersegurança para enfrentar as mais recentes ameaças direcionadas com a formação online Kaspersky desenvolvida por especialistas GReAT

· Para deteção, investigação e correção atempada de incidentes ao nível do ponto final, implemente soluções EDR como o Kaspersky Endpoint Detection and Response.