NineRAT Malware Targets Systems usa táticas do Lazarus Hacker Group

Cisco Talos descobriu recentemente uma nova campanha cibernética orquestrada pelo Grupo Lazarus, chamada “Operação Ferreiro”. Esta operação emprega três novas famílias de malware baseadas em DLang, com duas identificadas como trojans de acesso remoto (RATs). Notavelmente, um desses RATs utiliza bots e canais do Telegram como meio de comunicação de comando e controle (C2), ganhando o apelido de “NineRAT”, enquanto o RAT não baseado em Telegram é rotulado como “DLRAT”. Além disso, um downloader baseado em DLang conhecido como “BottomLoader” foi identificado na operação.

Esta descoberta marca uma mudança significativa nas táticas empregadas pelo Grupo Lazarus, um grupo norte-coreano de APT (Ameaça Persistente Avançada). Nos últimos 18 meses, o Cisco Talos divulgou três RATs distintos desenvolvidos usando tecnologias não convencionais, como QtFramework, PowerBasic e a adição mais recente, DLang.

Notavelmente, foram observados paralelos entre a Operação Blacksmith de Lazarus e as táticas, técnicas e procedimentos (TTPs) associados ao grupo Onyx Sleet, patrocinado pelo estado norte-coreano, também reconhecido como grupo Andariel APT. Andariel é amplamente considerado um subgrupo sob a égide do Lazarus, com esta campanha demonstrando o direcionamento oportunista de empresas globais que expõem infraestruturas vulneráveis à exploração de vulnerabilidades de n dias, incluindo o conhecido CVE-2021-44228 (Log4j). Lazarus visou especificamente indústrias como manufatura, agricultura e segurança física.

A Operação Blacksmith envolveu a exploração do Log4j e introduziu um RAT baseado em DLang até então desconhecido, o NineRAT, que utilizava o Telegram para comunicação C2. O NineRAT foi inicialmente construído por volta de maio de 2022 e foi empregado pela primeira vez na campanha aproximadamente um ano depois, visando uma organização agrícola sul-americana em março de 2023 e uma entidade industrial europeia em setembro de 2023.

As análises do Cisco Talos revelaram sobreposição com ataques maliciosos divulgados pela Microsoft em outubro de 2023, atribuídos ao Onyx Sleet. Isto está alinhado com o entendimento mais amplo de que o Lazarus APT opera como uma organização guarda-chuva que abrange vários subgrupos, cada um perseguindo diferentes objetivos relacionados com a defesa, a política, a segurança nacional e a investigação e desenvolvimento da Coreia do Norte.

Os usuários de computador afetados pelo malware NineRAT devem tomar medidas no uso de uma ferramenta antimalware não apenas para prevenir ataques futuros, mas também para eliminar totalmente a ameaça.