A equipe de pesquisa e investigação da ESET descobriu e analisou um conjunto de ferramentas criminosas que foram utilizadas pelo grupo APT Lazarus em ataques realizados entre setembro e novembro de 2021. A campanha começou com e-mails de spearphishing que continham documentos infectados e se faziam passar pela Amazon. Estes e-mails foram enviados a um funcionário de uma empresa aeroespacial na Holanda e a um jornalista de política na Bélgica. O principal objetivo dos atacantes era a exfiltração de dados.
Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT que está ativo desde pelo menos 2009. Este grupo é responsável por ataques a empresas de alto perfil, como o ciberataque à Sony Pictures Entertainment e o roubo de dezenas de milhões de dólares em 2016, assim como a onda de ataques provocados pelo ransomware WannaCryptor (também conhecido como WannaCry) em 2017 e uma longa história de ataques contra a infraestrutura crítica e pública da Coréia do Sul desde pelo menos 2011.
Principais descobertas:
- A campanha do grupo Lazarus teve como alvo um funcionário de uma empresa aeroespacial na Holanda e um jornalista de política na Bélgica.
- A ferramenta mais importante utilizada nesta campanha representa a primeira exploração registrada da vulnerabilidade CVE-2021-21551, que afeta os drivers DBUtil da Dell. A Dell lançou uma atualização de segurança em maio de 2021 que corrige a falha.
- Esta ferramenta, em combinação com a vulnerabilidade, desativa o monitoramento de todas as soluções de segurança em máquinas atacadas. Ela utiliza técnicas contra mecanismos do kernel do Windows que nunca antes foram observados em um malware.
- Nesta campanha, o Lazarus também utilizou o seu backdoor HTTP(S) mais completo, conhecido como BLINDINGCAN.
- A complexidade do ataque indica que o grupo Lazarus está composto por uma equipe grande, organizada e bem preparada sistematicamente.
Em ambos os casos, o contato começou através da divulgação de vagas de emprego: o funcionário na Holanda recebeu um anexo via LinkedIn Messaging e o jornalista na Bélgica recebeu um documento por e-mail. Os ataques começaram depois que estes documentos foram abertos pelas vítimas. Os cibercriminosos implantaram várias ferramentas maliciosas em cada sistema, incluindo droppers, loaders, backdoors HTTP(S) que contavam com múltiplas funções, uploaders e downloaders HTTP(S). O ponto em comum entre os droppers é que eles são projetos de código aberto trojanizados que decodificam o payload inserido usando criptografias de bloco modernos com chaves longas passadas como argumentos de linha de comando. Em muitos casos, os arquivos maliciosos são componentes DLL que foram baixados por arquivos EXE legítimos, mas a partir de um local incomum no sistema de arquivos.
A ferramenta mais interessante que os cibercriminosos utilizaram foi um módulo de modo de usuário que lhes permitiu de ler e escrever na memória do kernel devido à vulnerabilidade CVE-2021-21551 em um controlador legítimo da Dell. Este é o primeiro caso registrado de exploração desta vulnerabilidade em uma campanha. Os criminosos se aproveitaram da possibilidade de escrita na memória do kernel para desativar sete mecanismos fornecidos pelo sistema operacional Windows a fim de monitorar suas ações, tais como registros, sistema de arquivos, criação de processos, rastreamento de eventos, etc., basicamente “cegando” as soluções de segurança de forma muito genérica e robusta.
Neste artigo, explicamos o contexto da campanha e como os cibercriminosos obtiveram o acesso inicial, mas na versão em inglês desta publicação divulgamos uma análise técnica completa que detalha todos os componentes utilizados pelo grupo Lazarus.
Esta pesquisa e investigação foi apresentada na conferência Virus Bulletin deste ano. Devido a sua originalidade, o foco principal da apresentação foi o componente malicioso utilizado neste ataque que utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD) e explora a vulnerabilidade CVE-2021-21551 mencionada anteriormente. Informações mais detalhadas estão disponíveis no white paper Lazarus & BYOVD: Evil to the Windows core.
Atribuímos estes ataques ao Lazarus com bastante segurança, tendo como base os módulos específicos, o certificado de assinatura de código e a abordagem de intrusão que são aspectos em comum com as campanhas anteriores do Lazarus, como as operações In(ter)ception e a DreamJob. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo, assim como o fato de que ele realiza os três pilares das atividades cibercriminosas: espionagem cibernética, sabotagem cibernética e o interesse por obter lucros financeiros.
Acesso inicial
A equipe de pesquisa e investigação da ESET descobriu dois novos ataques: um contra funcionários de um meio de comunicação na Bélgica e outro contra um funcionário de uma empresa aeroespacial na Holanda.
No caso da Holanda, o ataque afetou um computador com Windows 10 conectado a uma rede corporativa, na qual um funcionário foi contatado via LinkedIn Messaging a respeito de uma vaga de emprego, resultando no envio de um e-mail com um documento anexo. Entramos em contato com o profissional de segurança da empresa afetada e ele compartilhou conosco o documento infectado. O arquivo de Word Amzon_Netherlands.docx que foi enviado é simplesmente um documento que contém o logo da Amazon (veja a Figura 1). Uma vez aberto, o modelo remoto https://thetalkingcanvas[.]com/thetalking/globalcareers/us/5/careers/jobinfo.php?image=<var>_DO.PROJ (onde <var> é um número de sete dígitos) é recuperado. Não conseguimos adquirir o conteúdo, mas acreditamos que ele continha uma vaga de emprego para o programa espacial da Amazon, o Projeto Kuiper. Este é um método que foi utilizado pelo Lazarus nas operações In(ter)ception e DreamJob, que foram direcionadas as indústrias aeroespacial e de defesa.
Em poucas horas, várias ferramentas maliciosas foram utilizadas no sistema, incluindo droppers, loaders, backdoors HTTP(S) com todas as funções, uploaders HTTP(S) e downloaders HTTP(S); veja a seção Toolset (Conjunto de Ferramentas) na versão em inglês desta publicação.
No caso do ataque na Bélgica, o funcionário de uma empresa de jornalismo (cujo endereço de e-mail estava disponível publicamente no site da empresa) foi contatado através de uma mensagem de e-mail que utilizou um anexo com o nome AWS_EMEA_Legal_.docx como isca. Como não obtivemos o documento e só tivemos acesso ao seu nome, acreditamos que o arquivo possa ser uma vaga de emprego para um cargo na área jurídica. Após o funcionário abrir o documento, o ataque foi acionado, mas os produtos ESET pararam sua execução imediatamente, com apenas um executável malicioso envolvido. O aspecto interessante aqui é que, neste momento, este binário foi validamente assinado com um certificado de assinatura de código.
Atribuição dos ataques
Atribuímos os dois ataques ao grupo Lazarus com bastante segurança. Esta afirmação se baseia na relação que eles demonstram com as campanhas anteriores do grupo:
- Malware (set de intrusão):
- O backdoor HTTPS (SHA-1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2) tem fortes semelhanças com o backdoor BLINDINGCAN, reportado pela CISA (US-CERT) e atribuído ao HIDDEN COBRA, que é o codinome do grupo Lazarus.
- O uploader HTTP(S) tem fortes semelhanças com a ferramenta C:\ProgramData\IBM~DF234.TMP mencionada no relatório da HvS Consulting, na seção 2.10 Exfiltração.
- O caminho e nome completo do arquivo, %ALLUSERSPROFILE%\Adobe\Adobe.tmp, é idêntico aos reportados pela Kaspersky em um white paper de fevereiro de 2021 sobre uma campanha do grupo Lazarus chamada Operation ThreatNeedle, que estava direcionada a indústria de defesa.
- O certificado de assinatura do código, que foi emitido em nome da empresa americana "A" MEDICAL OFFICE, PLLC e utilizado para assinar um dos droppers, também foi reportado em uma campanha direcionada a pesquisadores de cibersegurança. Veja também o grupo Lazarus: campanha 2 TOY GUYS, Threat Report do primeiro quadrimestre de 2021, página 11.
- Um tipo incomum de criptografia foi usado nas ferramentas desta campanha do grupo Lazarus: HC-128. Outras criptografias incomuns foram usadas pelo Lazarus no passado: uma variante do Spritz para RC4 nos ataques de watering hole contra bancos poloneses e mexicanos; depois o grupo usou uma criptografia RC4 modificada na Operation In(ter)ception; e uma criptografia de fluxo A5/1 modificada no ataque à cadeia de abastecimento da WIZVERA VeraPort.
- Infraestructura:
- Para o servidor C&C de primeiro nível, os atacantes não utilizaram seus próprios servidores, mas comprometeram os já existiam. Este é um comportamento típico do grupo Lazarus.
Como mencionamos anteriormente, nesta versão em português deste artigo explicamos o contexto desta campanha do grupo APT Lazarus direcionada a alvos na Bélgica e na Holanda. Mais uma vez, o grupo utilizou a divulgação de vagas de emprego falsas como uma isca para tentar enganar suas vítimas e enviar um documento que faz o download de um malware que permite o acesso inicial.
Na versão em inglês, intitulada Amazon themeed campaigns of Lazarus in the Netherlands and Belgium, você pode conferir a análise técnica completa de cada uma das ferramentas e componentes utilizados pelo grupo Lazarus.