A principal operação do Lazarus – “Operation DreamJob” – continua a evoluir com novas tácticas sofisticadas que persistem há mais de cinco anos, de acordo com a Equipa de Análise e Pesquisa Global da Kaspersky. Os alvos mais recentes incluem colaboradores de uma organização relacionada com o sector nuclear, que foram infectados através de três ficheiros comprometidos, aparentemente ficheiros de testes de avaliação de competências para profissionais de TI. Esta campanha em curso utiliza malware avançado, incluindo uma backdoor modular recentemente descoberta, denominada de CookiePlus, disfarçada de plugin de código aberto.
A equipa de especialistas da Kaspersky – GreAT – descobriu uma nova campanha ligada à infame Operação DreamJob, também conhecida como DeathNote, um cluster associado ao Lazarus, um notório grupo de APT. Ao longo dos anos, essa campanha evoluiu significativamente, surgindo inicialmente em 2019, com ataques direccionados a empresas de criptomoedas em todo o mundo. Durante 2024, expandiu-se para visar empresas de TI e de defesa na Europa, América Latina, Coreia do Sul e África.
O último relatório da Kaspersky fornece novos insights sobre uma fase recente de actividade, revelando uma campanha que visa colaboradores da mesma organização, relacionada à energia nuclear no Brasil, bem como pessoas de um sector não identificado no Vietnam.
Durante um mês, pelo menos dois colaboradores da mesma organização foram alvo do malware Lazarus, recebendo vários ficheiros de arquivo disfarçados de avaliações de competências para posições de TI em empresas proeminentes do sector aeroespacial e da defesa. Inicialmente, o grupo Lazarus entregou o primeiro ficheiro aos Hosts A e B da mesma organização e, passado um mês, tentou ataques mais agressivos ao primeiro alvo. É provável que tenham utilizado plataformas de procura de emprego como o LinkedIn para entregar as instruções iniciais e obter acesso aos alvos.
O Lazarus evoluiu os seus métodos de entrega e melhorou a persistência, através de uma complexa cadeia de infecção que envolve vários tipos de malware, como um downloader, um loader e uma backdoor. Lançaram um ataque em várias fases utilizando software VNC “trojanizado”, um visualizador de ambiente de trabalho remoto para Windows e outra ferramenta VNC legítima para distribuir malware.
Para além disso, este grupo de cibercriminosos foi responsável por instalar uma backdoor inédita, baseada em plugins que os especialistas do GReAT apelidaram de CookiePlus. Estava disfarçada de ComparePlus, um plugin de código aberto do Notepad++. Uma vez estabelecido, o malware recolhe dados do sistema, incluindo o nome do computador, o ID do processo e os percursos de cada ficheiro.
«Existem riscos substanciais, incluindo o roubo de dados, uma vez que a Operação DreamJob reúne informações sensíveis do sistema que podem ser utilizadas para roubo de identidade ou espionagem. A capacidade do malware para atrasar as suas acções permite-lhe evitar a detecção no momento da penetração e persistir durante mais tempo no sistema. Ao definir tempos de execução específicos, pode funcionar em intervalos que podem evitar ser detectados. Além disso, o malware pode manipular os processos do sistema, tornando-o mais difícil de detectar e levando potencialmente a mais danos ou à exploração do sistema», sublinha Sojun Ryu, especialista em segurança da Equipa de Análise e Pesquisa Global da Kaspersky.
