Um “grupo de atividade de estado-nação altamente operacional, destrutivo e sofisticado” com laços com a Coreia do Norte vem armando o Zinc, software de código aberto em suas campanhas de engenharia social destinadas a empresas de todo o mundo desde junho.

As equipes de inteligência de ameaças da Microsoft, juntamente com o LinkedIn Threat Prevention and Defense, atribuíram as invasões com alta confiança ao Zinc, grupo de ameaças afiliado ao Lazarus que também é rastreado sob o nome Labyrinth Chollima.

Leia mais:

Ataques direcionados a funcionários em organizações de vários setores, incluindo mídia, defesa e aeroespacial, e serviços de TI nos EUA, Reino Unido, Índia e Rússia.

publicidade

A gigante da tecnologia disse que observou o Zinc aproveitando “ampla gama de software de código aberto, incluindo PuTTY, KiTTY, TightVNC, Sumatra PDF Reader e instalador de software muPDF/Subliminal Recording para esses ataques”.

De acordo com a CrowdStrike, o Zinc “está ativo desde 2009 em operações destinadas a coletar informações políticas, militares e econômicas sobre os adversários estrangeiros da Coreia do Norte e realizar campanhas de geração de moeda”.

As últimas descobertas se encaixam em relatório recente da Mandiant, de propriedade do Google, que descobriu o uso do PuTTY pelo adversário por meio de iscas de trabalho fraudulentas compartilhadas com alvos em potencial no LinkedIn como parte de campanha chamada Operation Dream Job.

Isso envolve estabelecer conexões iniciais com indivíduos, posando como profissionais de recrutamento como exercício de construção de confiança, antes de mover a conversa para o WhatsApp, onde um documento de atração personalizado ou software aparentemente benigno é compartilhado, ativando efetivamente a sequência de infecção.

Exemplo de infiltração dos hackers (Imagem: Reprodução/The Hacker News)

Um comprometimento bem-sucedido é seguido pelo agente da ameaça movendo-se lateralmente pela rede e resfiltrando informações coletadas de interesse, implantando um backdoor chamado ZetaNile (também conhecido como BLINDINGCAN ou AIRDRY).

Mas em tentativa de burlar as defesas de segurança e evitar alertas vermelhos, o malware é baixado apenas quando a vítima usa os clientes SSH para se conectar a endereço IP específico por meio das credenciais especificadas em arquivo de texto separado.

Da mesma forma, os ataques que empregam a versão trojanizada do TightVNC Viewer são configurados para instalar o backdoor somente quando o usuário seleciona host remoto específico entre as opções fornecidas.

“Os ataques de zinco parecem ser motivados por ciberespionagem tradicional, roubo de dados pessoais e corporativos, ganho financeiro e destruição de rede corporativa”, disse a empresa.

“Eles têm muitas características de atividades patrocinadas pelo Estado, como segurança operacional aprimorada, malware sofisticado que evolui ao longo do tempo e direcionamento politicamente motivado.”

ViaThe Hacker News

Imagem destacada: Who is Danny/Shutterstock

Já assistiu aos novos vídeos no YouTube do jogos io? Inscreva-se no canal!