Os hackers do grupo Lazarus, associado à Coreia do Norte, lançaram uma nova vaga de ataques contra três empresas europeias do setor da defesa, utilizando uma campanha de engenharia social conhecida como "Operation DreamJob". A informação foi revelada por investigadores da empresa de ciberseguranças ESET, que detetaram a atividade maliciosa no final de março. O principal alvo parece ser a tecnologia de veículos aéreos não tripulados (UAV), vulgarmente conhecidos como drones.
A "oferta de emprego" que serve de isco
A "Operation DreamJob" é uma campanha de longa data do grupo Lazarus, que se baseia em táticas de engenharia social para se infiltrar nos sistemas das suas vítimas. Os atacantes fazem-se passar por recrutadores de grandes empresas, abordando funcionários de organizações estratégicas com propostas de emprego aliciantes para cargos de grande visibilidade.
O objetivo é convencer os alvos a descarregar ficheiros maliciosos, disfarçados de documentos relacionados com a suposta oferta de trabalho, que acabam por dar aos hackers acesso aos sistemas internos da empresa. Esta tática já foi usada no passado contra empresas de criptomoedas, programadores de software, jornalistas e outras organizações do setor da defesa.
Alvos estratégicos e a cadeia de infeção
Nesta mais recente campanha, a ESET observou ataques sucessivos a uma empresa de engenharia metalúrgica no Sudeste Europeu e a duas outras companhias na Europa Central, uma fabricante de peças para aeronaves e outra focada em defesa. Todas estas empresas produzem equipamento militar que está a ser utilizado na Ucrânia. Duas delas estão diretamente envolvidas no desenvolvimento de tecnologia de UAVs, desde componentes críticos a software especializado.
A cadeia de infeção analisada pelos investigadores começa com a vítima a executar uma aplicação ou plugin open-source que foi alterado para incluir malware, como o visualizador MuPDF, o Notepad++ ou o TightVNC Viewer. Para contornar as defesas do sistema, os hackers recorrem a uma técnica de evasão conhecida como "DLL sideloading", que utiliza um software legítimo para carregar a carga maliciosa.
O passo seguinte envolve a desencriptação do payload diretamente na memória do sistema, culminando na instalação de um Trojan de Acesso Remoto (RAT) conhecido como "ScoringMathTea". Este malware estabelece comunicação com os servidores de comando e controlo (C2) dos atacantes, ficando a aguardar instruções. Numa cadeia de infeção alternativa, é utilizado um carregador de malware que abusa da API do Microsoft Graph para obter payloads adicionais.
O ScoringMathTea, na sua versão mais recente, suporta 40 comandos diferentes, permitindo aos hackers uma vasta gama de ações, desde a execução de comandos remotos e manipulação de ficheiros até à instalação de novo malware.
O objetivo: construir um arsenal de drones "inspirado" no Ocidente
Segundo a ESET, esta campanha está alinhada com os desenvolvimentos geopolíticos atuais e coincide com os esforços da Coreia do Norte para construir o seu próprio arsenal de drones, "inspirado" em designs ocidentais.
Apesar de as táticas e os iscos de engenharia social da "Operation DreamJob" serem regularmente expostos em relatórios de cibersegurança, continuam a provar ser um método eficaz para os hackers norte-coreanos se infiltrarem em alvos de alto valor.
Nenhum comentário
Seja o primeiro!