.
A pesquisa sobre os ataques do Grupo Lazarus usando Log4Shell revelou novas cepas de malware escritas em uma linguagem de programação atípica.
DLang está entre a nova geração de linguagens seguras para memória endossadas pelas agências de segurança ocidentais nos últimos anos, o mesmo tipo de linguagem para a qual os criminosos cibernéticos estão migrando.
Pelo menos três novas cepas de malware baseadas em DLang foram usadas em ataques a organizações mundiais que abrangem os setores de manufatura, agricultura e segurança física, revelou hoje a Cisco Talos.
Os ataques fazem parte do que está sendo chamado de “Operação Ferreiro” e são atribuídos a um grupo identificado como Andariel, que se acredita ser uma subdivisão do Grupo Lazarus – a unidade cibernética ofensiva patrocinada pelo Estado da Coreia do Norte.
A Operação Blacksmith viu o alvo regular de organizações expostas a vulnerabilidades de n dias, como a vulnerabilidade crítica log4j divulgada em dezembro de 2021 (CVE-2021-44228).
NineRAT foi associado à atividade de invasores após explorar servidores VMware Horizon públicos com Log4Shell – o termo cunhado pela indústria para explorações da vulnerabilidade log4j – e usa bots e canais Telegram para sua infraestrutura C2.
Ao desvendar o trojan de acesso remoto (RAT), os pesquisadores da Cisco Talos descobriram que ele foi construído por volta de maio de 2022, mas só foi usado em ataques de março de 2023 a outubro.
Os ataques de outubro à ferramenta TeamCity CI/CD da JetBrains também foram atribuídos a Andariel. O próprio grupo normalmente tem a tarefa de obter acesso a organizações e acesso de longo prazo para campanhas de espionagem cibernética, mas é conhecido por realizar ataques de ransomware.
Os ataques realizados usando NineRAT compartilhavam táticas, técnicas e procedimentos (TTPs) semelhantes aos vistos em ataques anteriores, com uma descoberta comum sendo o uso da ferramenta de proxy HazyLoad anteriormente vista apenas nos ataques TeamCity.
O uso do Telegram pela NineRat é entendido como tendo como objetivo evitar a detecção de medidas baseadas em rede e host. A execução de tráfego malicioso através de um serviço legítimo é uma tática comum usada por cibercriminosos que usaram outras plataformas sociais, como o Discord, para os mesmos fins.
BottomLoader foi a segunda cepa identificada pelos pesquisadores e atua como um downloader para ataques de segundo estágio, como a ferramenta HazyLoad. Ele baixa cargas úteis de uma URL codificada por meio de um comando do PowerShell e pode fazer upload de arquivos também por meio de um comando do PowerShell.
Ele também pode estabelecer persistência para cargas de acompanhamento criando um arquivo .URL no diretório de inicialização, contando novamente com o PowerShell para baixar quaisquer pacotes de acompanhamento.
Por fim, o DLRAT atua como um downloader de cargas adicionais de malware, coleta informações da sessão antes de devolvê-las aos invasores e também possui recursos RAT.
Movendo para a segurança da memória
Os pesquisadores observaram que DLang é uma escolha incomum para escrever malware, mas uma mudança em direção a linguagens e estruturas mais novas tem se acelerado nos últimos anos – tanto na codificação de malware quanto no mundo da programação em geral.
Rust, no entanto, muitas vezes tem se mostrado a escolha preferida dentre uma seleção bastante ampla de linguagens consideradas seguras para memória.
AlphV/BlackCat foi o primeiro grupo de ransomware a fazer essa mudança no ano passado, reescrevendo sua carga útil em Rust para oferecer a seus afiliados uma ferramenta mais confiável. Um mês depois, o grupo Hive, agora fechado, fez a mesma coisa, e muitos outros o seguiram.
Outros grupos que desprezaram Rust incluem o Sandman, com sede na China, que foi recentemente observado usando malware baseado em Lua, que se acredita ser parte de uma mudança mais ampla em direção ao desenvolvimento de Lua por parte de invasores chineses.
Rust é a “mais amada” de todas as linguagens de desenvolvimento, de acordo com as pesquisas anuais de desenvolvedores do Stack Overflow, e esse tem sido o caso consistentemente nos últimos sete anos.
É frequentemente mencionado ao mesmo tempo que Go, Ruby, Swift e outros por sua segurança de memória, mas os desenvolvedores geralmente relatam que gostam mais da experiência de escrever em Rust do que em outras linguagens.
Ele também tem um desempenho melhor do que alguns de seus pares, como o Go, que às vezes é criticado por seu coletor de lixo tornar os aplicativos mais lentos. Rust descartou seu coletor de lixo anos atrás e, como resultado, é comparativamente mais rápido do que outras linguagens semelhantes.
DLang também tem um coletor de lixo, o que significa que em alguns casos ele pode rodar mais devagar que Rust, mas um benefício de linguagens como DLang e Go é que elas têm tempos de compilação mais rápidos, então pode ser uma troca que os desenvolvedores fazem com base em suas preferências . ®
.
