ThreatNeedle Malware
O Malware ThreatNeedle é uma ameaça de backdoor que os pesquisadores da Infosec observaram ser parte do arsenal ameaçador do grupo norte-coreano ATP (Advanced Persistent Threat) chamado Lazarus (também conhecido como APT38 e Hidden Cobra). A primeira vez que esse tipo de malware foi implantado em um ataque ativo foi em 2018, quando o Lazarus teve como alvo uma bolsa de cripto-moedas de Hong Kong e um desenvolvedor de jogos móveis.
Em sua última operação, os hackers voltaram a usar o malware ThreatNeedle. Desta vez, a campanha de ataque visa alvos da indústria de defesa localizados em mais de uma dezena de países espalhados pelo mundo. Para se infiltrar nos alvos selecionados, o Lazarus usa um esquema de spear-phishing bem elaborado. Os hackers reúnem informações de mídia social sobre um funcionário selecionado e, em seguida, enviam uma mensagem de email personalizada projetada para parecer ter sido enviada pela organização do funcionário. O e-mail contém um documento do Word com malware ou um link para um servidor remoto sob o controle dos hackers. Abrir o documento ou clicar no link inicia a primeira parte de uma cadeia de ataque em vários estágios.
Durante essa etapa do ataque, o Lazarus realiza principalmente o reconhecimento inicial e, em seguida, é determinado se o ataque seria escalado lançando malware adicional no sistema comprometido e começando a se mover lateralmente através da rede interna. O ThreatNeedle permite que os hackers obtenham controle total sobre o sistema, executem comandos arbitrários, manipulem os sistemas de arquivos e diretórios, coletem e exfiltrem dados, controlem os processos backdoor e forcem o dispositivo infectado a hibernar ou entrar no modo de suspensão.
O aspecto mais ameaçador desta última operação realizada pelo Lazarus é a capacidade dos hackers de superar a segmentação da rede. Isso significa que, mesmo que a organização visada tenha dividido sua rede interna em uma parte conectada à Internet pública e uma seção isolada. A violação é conduzida assumindo o controle de um dispositivo roteador interno e configurando-o para atuar como um servidor proxy. Os invasores podem então exfiltrar os dados coletados da rede Intranet para o servidor remoto.
