Grupo de hackers patrocinado pelo governo norte-coreano tem se passado por recrutadores da Samsung para chegar aos funcionários de várias empresas sul-coreanas de segurança da informação, ao oferecer-lhes falsas oportunidades de trabalho.

Este grupo de hackers foi identificado com sob codinome de “Zinc APT”, (o APT significa Advanced Persistent Threat ou Ameaça Persistente Avançada) também conhecido como Lazarus Group, notório grupo de hackers por ter como alvo pesquisadores de segurança, como visto em campanhas anteriores.

Os e-mails enviados com ofertas de emprego falsas para os pesquisadores de segurança incluem um PDF malicioso que afirma possuir informações sobre um processo seletivo para uma vaga na Samsung. O PDF malicioso foi criado de tal forma que sempre que a vítima tentar abrir o arquivo, ele não será aberto em nenhum leitor de PDF padrão.

E-mail de exemplo usado pelos atacantes | Créditos da imagem: https://gbhackers.com/north-korean-hackers-group-posed-as-samsung-recruiters/

Nesse ponto, como as vítimas não conseguem abrir o PDF para a desejada vaga, acabam reclamando para os supostos recrutadores, que em seguida enviam um link para as vítimas que aponta para um leitor de pdf seguro.

Os falsos recrutadores oferecem o PDFTron para as vítimas, que trata-se de um aplicativo do tipo leitor de pdf seguro, através do Google Drive. O Google, aliás, afirma que o pacote do PDFTron fornecido era uma versão modificada do PDFTron com o objetivo de instalar um cavalo de troia (Trojan Horse) nos sistemas das vítimas.

Que ações são executadas após o sistema ser comprometido?

Confira a seguir todas as ações que podem ser executadas pelos hackers nos sistemas comprometidos:

  • Mineração de criptomoedas
  • Varredura de portas de outros alvos na Internet
  • Lançar ataques contra outros alvos na Internet
  • Hospedar malware
  • Hospedar conteúdo não autorizado na Internet
  • Lançar bot DdoS
  • Enviar spam

Vulnerabilidades exploradas

Que vulnerabilidades o malware pode explorar? Veja a seguir:

  • Conta de usuário com senha fraca ou sem senha, ou ainda, sem autenticação para APIs
  • Vulnerabilidade em software de terceiros em alguma instância da nuvem que já tenha sido explorada
  • Outros problemas
  • Problemas de configuração em alguma instância da nuvem ou em software de terceiros
  • Vazamento de credenciais (chaves publicadas em projetos do Github)

O TAG (Threat Analysis Group), time do Google que atua na contenção de ataques patrocinados por governos, atribuiu todos esses ataques ao grupo de hackers norte-coreano Zinc APT. No final de 2020 e ao longo de 2021, esse mesmo grupo teve como alvo pesquisadores de segurança por meio do Twitter e em outras redes sociais.

Grupo de hackers norte-coreano se passa por recrutadores da Samsung
Falsos perfis no Twitter dos hackers do Zinc Group | Créditos da imagem: https://gbhackers.com/north-korean-hackers-group-posed-as-samsung-recruiters/

Quais as recomendações de segurança?

Com base no que a ameaça do Zinc Group pode explorar

  • Audite projetos publicados para garantir que certificados e credenciais não sejam acidentalmente expostos;
  • O código baixado por clientes deve passar por autenticação de hash;
  • Use várias camadas de defesa para combater o roubo de credenciais e cookies de autenticação;
  • Utilize ferramentas de mercado, como a CleanCloud Score, para auditar todas as configurações de segurança de sua nuvem (AWS, Azure e GCP) e assim estar em conformidade com padrões de segurança, incluindo a LGPD e outros.

Considerações

É necessário se atentar para o modus operandi de grupos de hackers, no quesito abordagem. As redes sociais são os locais perfeitos para agentes de APT coletar informações e direcionar seus ataques, já que pessoas e empresas divulgam muitas informações nesses locais sobre a sua infraestrutura, nomes de sistemas, etc.

Via LinkedIn, falsos recrutadores podem entrar em contato com funcionários de empresas de determinados segmentos e assim utilizar uma técnica conhecida como engenharia social para obter informações sigilosas. É necessário estar atento.

O LinkedIn realmente é um terreno fértil. Empresas divulgam vagas de tecnologia onde pedem que os candidatos possuam conhecimento em determinadas tecnologias. Oras, se a empresa pede que o candidato tenha experiência com o Microsoft SQL Server por exemplo, o atacante poderá supor que a empresa utiliza este sistema de banco dados. Com esta informação em mãos, poderão utilizá-la para futuros ataques, como um reconhecimento de terreno, varreduras, etc.

E finalizando, hackear pessoas pessoas é infinitamente mais fácil do que hackear sistemas. Pessoas são vulneráveis por natureza e atacantes habilidosos podem explorar estas vulnerabilidades humanas. E uma vez hackeado com sucesso o gestor da área de segurança de uma conhecida empresa, poderão adentrar nos meandros da infraestrutura computacional do alvo, e daí sim, realizar ataques à cadeia de suprimentos, aumentando ainda mais a sua superfície de ataque.

Dá uma lida no post Cibersegurança: Como ‘A Arte da Guerra’ pode reescrever o cenário atual?, para saber como se prevenir contra os ataques.

Como sempre tenho falado: Vamos investir mais em conscientização e treinamento para seus colaboradores. O resultado será bastante positivo e o caixa da empresa agradecerá.. rsrs

Referências:

https://gbhackers.com/north-korean-hackers-group-posed-as-samsung-recruiters/

Créditos da imagem usada na capa do post:

https://sofrep.com/news/fbi-intelligence-agencies-warn-about-north-korean-hackers/

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...

More in:Security