{"id":18619,"date":"2021-04-06T12:29:18","date_gmt":"2021-04-06T15:29:18","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18619"},"modified":"2021-04-16T18:08:33","modified_gmt":"2021-04-16T21:08:33","slug":"hackers-norte-coreanos-visando-empresas-de-defesa-com-malware-threatneedle","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/04\/basico\/hackers-norte-coreanos-visando-empresas-de-defesa-com-malware-threatneedle\/","title":{"rendered":"Hackers norte-coreanos visando empresas de defesa com malware ThreatNeedle"},"content":{"rendered":"\n
\n
 <\/div>\n
Um prol\u00edfico grupo de hackers patrocinado pelo estado norte-coreano est\u00e1 vinculado a uma nova campanha de espionagem em andamento com o objetivo de vazarem informa\u00e7\u00f5es confidenciais de organiza\u00e7\u00f5es da ind\u00fastria de defesa.<\/span><\/div>\n
 <\/div>\n
Atribuindo os ataques com alta confian\u00e7a ao Grupo Lazarus, as novas descobertas da Kaspersky sinalizam uma expans\u00e3o das t\u00e1ticas do ator APT, indo al\u00e9m da gama usual de crimes com motiva\u00e7\u00e3o financeira para financiar o regime sem dinheiro.<\/span><\/div>\n
 <\/div>\n
Essa amplia\u00e7\u00e3o de seus interesses estrat\u00e9gicos aconteceu no in\u00edcio de 2020 com o aproveitamento de uma ferramenta chamada ThreatNeedle, conforme os pesquisadores Vyacheslav Kopeytsev e Seongsu Park em um artigo publicado na quinta-feira.<\/span><\/div>\n
 <\/div>\n<\/div>\n

Em um alto n\u00edvel, a campanha tira proveito de uma abordagem de v\u00e1rias etapas que come\u00e7a com um ataque de spear-phishing (t\u00e9cnica de engenharia social usada para enganar usu\u00e1rios e obter informa\u00e7\u00f5es confidenciais como nome de usu\u00e1rio, senha e detalhes do cart\u00e3o de cr\u00e9dito.<\/span>) <\/span><\/span><\/span>cuidadosamente elaborado, levando eventualmente os invasores a obterem o controle remoto dos dispositivos.<\/p>\n

 <\/p>\n

\"North<\/a><\/p>\n

 <\/p>\n

O ThreatNeedle \u00e9 entregue aos alvos por meio de e-mails com o tema COVID com anexos maliciosos do Microsoft Word como vetores de infec\u00e7\u00e3o iniciais que, quando abertos, executam uma macro contendo c\u00f3digo malicioso projetado para baixar e executar cargas adicionais no sistema infectado.<\/p>\n

O malware de pr\u00f3ximo est\u00e1gio funciona incorporando seus recursos maliciosos em um backdoor do Windows que oferece recursos para reconhecimento inicial e implanta\u00e7\u00e3o de malware para movimenta\u00e7\u00e3o lateral e vazamento de dados.<\/p>\n

“Uma vez instalado, o ThreatNeedle \u00e9 capaz de obter controle total do dispositivo da v\u00edtima, o que significa que pode fazer tudo, desde manipular arquivos at\u00e9 executar comandos recebidos”, conforme os pesquisadores de seguran\u00e7a da Kaspersky.<\/p>\n

A Kaspersky encontrou sobreposi\u00e7\u00f5es entre o ThreatNeedle e outra fam\u00edlia de malware chamada Manuscrypt, que foi usada pelo Lazarus Group em campanhas anteriores de hacking contra as ind\u00fastrias de criptomoeda e jogos m\u00f3veis, al\u00e9m de descobrir conex\u00f5es com outros clusters Lazarus, como AppleJeus, DeathNote e Bookcode.<\/p>\n

 <\/p>\n

\"North<\/a><\/p>\n

Curiosamente, o Manuscrypt tamb\u00e9m foi implantado em uma opera\u00e7\u00e3o do Lazarus Group no m\u00eas passado, que envolveu a comunidade de seguran\u00e7a cibern\u00e9tica com oportunidades de colaborar na pesquisa de vulnerabilidade, apenas para infectar as v\u00edtimas com malware que poderia causar o roubo de explora\u00e7\u00f5es desenvolvidas pelos pesquisadores para vulnerabilidades possivelmente n\u00e3o reveladas, assim, usando-os para realizar novos ataques a alvos vulner\u00e1veis \u200b\u200bde sua escolha.<\/p>\n

Talvez o mais preocupante do desenvolvimento seja uma t\u00e9cnica adotada pelos invasores para contornar as prote\u00e7\u00f5es de segmenta\u00e7\u00e3o de rede em uma rede corporativa n\u00e3o identificada, “obtendo acesso a uma m\u00e1quina de roteador interno e configurando-a como um servidor proxy, permitindo que eles vazem dados roubados da intranet rede para o servidor remoto. “<\/p>\n

A empresa de seguran\u00e7a cibern\u00e9tica disse que organiza\u00e7\u00f5es em mais de uma d\u00fazia de pa\u00edses foram afetadas at\u00e9 o momento.<\/p>\n

Pelo menos um dos e-mails de spear-phishing mencionados no relat\u00f3rio foi escrito em russo, enquanto outra mensagem veio com um anexo de arquivo malicioso chamado “Boeing_AERO_GS.docx”, possivelmente sugerindo um alvo nos EUA.<\/p>\n

No in\u00edcio deste m\u00eas, tr\u00eas hackers norte-coreanos associados \u00e0 divis\u00e3o de intelig\u00eancia militar da Coreia do Norte foram indiciados pelo Departamento de Justi\u00e7a dos EUA por supostamente participarem de uma conspira\u00e7\u00e3o criminosa que tentava extorquir $ 1,3 bilh\u00e3o em criptomoedas e dinheiro de bancos e outras organiza\u00e7\u00f5es ao redor do mundo .<\/p>\n

\u201cNos \u00faltimos anos, o grupo Lazarus se concentrou em atacar institui\u00e7\u00f5es financeiras em todo o mundo\u201d, conclu\u00edram os pesquisadores. “No entanto, a partir do in\u00edcio de 2020, eles se concentraram em atacar agressivamente a ind\u00fastria de defesa.”<\/p>\n

“Embora o Lazarus tamb\u00e9m tenha utilizado anteriormente o malware ThreatNeedle usado neste ataque para visar empresas de criptomoeda, ele est\u00e1 sendo usado ativamente em ataques de espionagem cibern\u00e9tica.”<\/p>\n

 <\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2021\/02\/north-korean-hackers-targeting-defense.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

  Um prol\u00edfico grupo de hackers patrocinado pelo estado norte-coreano est\u00e1 vinculado a uma nova campanha de espionagem em andamento com o objetivo de vazarem informa\u00e7\u00f5es confidenciais de organiza\u00e7\u00f5es da ind\u00fastria de defesa.   Atribuindo os ataques com alta confian\u00e7a ao Grupo Lazarus, as novas descobertas da Kaspersky sinalizam uma expans\u00e3o das t\u00e1ticas do ator […]<\/p>\n","protected":false},"author":2,"featured_media":18630,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,105,99],"tags":[],"class_list":["post-18619","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18619"}],"version-history":[{"count":21,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18619\/revisions"}],"predecessor-version":[{"id":18698,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18619\/revisions\/18698"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18630"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}