All blog posts

O notório grupo de hackers norte-coreano Lazarus, reconhecido por suas operações cibernéticas complexas, foi flagrado empregando uma ferramenta de espionagem extremamente avançada, apelidada de RemotePE. A particularidade desse malware reside em sua capacidade de operar inteiramente na memória dos computadores infectados, um feito que dificulta enormemente qualquer investigação forense e a detecção por softwares de segurança tradicionais. A descoberta, detalhada pela Fox-IT – subsidiária do NCC Group –, surgiu após um minucioso trabalho de resposta a incidentes em uma organização de finanças descentralizadas.

RemotePE: A Estratégia da Invisibilidade Cibernética

Identificado como um trojan de acesso remoto (RAT), o RemotePE permite que atacantes externos assumam o controle total da máquina da vítima. Contudo, o que distingue essa operação é sua natureza volátil. Ao não gravar artefatos no disco rígido, o 'vírus invisível' torna-se um fantasma digital, evadindo as técnicas forenses que dependem da análise de dados persistentes. Essa abordagem furtiva representa um salto significativo nas táticas de dissimulação, elevando o desafio para as equipes de cibersegurança.

Engenharia Social como Vetor de Infiltração

A porta de entrada para a infecção pelo RemotePE é a engenharia social, um método que explora a confiança humana. Os operadores do Lazarus orquestram cuidadosamente a aproximação, fazendo-se passar por funcionários de empresas de trading no Telegram. Essa falsidade é utilizada para marcar reuniões fictícias em plataformas como Calendly e Picktime, artifício que, uma vez aceito, concede aos invasores o acesso inicial ao dispositivo da vítima, dando início à complexa cadeia de ataque.

A Complexa Cadeia de Ataque: Três Estágios para o Controle Total

A partir do acesso inicial, a campanha se desenrola em uma sequência meticulosa de três estágios, projetados para evadir detecção e garantir a implantação segura do RAT. Cada fase contribui para a invisibilidade e persistência da ameaça, culminando no controle completo da máquina sem deixar vestígios óbvios.

DPAPILoader: O Carregador Criptografado e Único

O primeiro componente dessa cadeia é o DPAPILoader, que emprega a funcionalidade legítima Data Protection API (DPAPI) do Windows. Essa técnica cifra os dados de forma que a chave de descriptografia esteja intrinsicamente ligada à conta de usuário e à máquina específica. Tal recurso garante que, mesmo que o arquivo malicioso seja interceptado e analisado em ambientes externos como o VirusTotal, ele se torna inútil sem as chaves da máquina da vítima. Adicionalmente, cada implante gera um hash de arquivo distinto por vítima, neutralizando a eficácia da detecção baseada em assinaturas. O malware se camufla no sistema com o nome Iassvc.dll, imitando um serviço legítimo do Windows, diferenciando-se apenas por uma letra no nome.

RemotePELoader: Cegando os Sistemas de Segurança

O segundo estágio é ativado pelo RemotePELoader, que assume a responsabilidade de contatar o servidor de comando e controle (C2) dos atacantes. Contudo, antes de estabelecer essa comunicação e receber a carga final, o RemotePELoader emprega táticas avançadas para desabilitar a visibilidade do sistema. Ele remove 'ganchos' ou sensores instalados por produtos de segurança de endpoint (EDR) na memória, e desativa o Rastreamento de Eventos para Windows (ETW), um mecanismo vital que registra atividades de processos e alimenta ferramentas de segurança com telemetria em tempo real. Esta fase também se destaca pela dependência de aprovação manual por um operador humano, indicando um alto grau de interação e coordenação.

O Payload Final: RemotePE e o Apagamento de Evidências

Após a aprovação manual do operador, o payload final, RemotePE, é carregado diretamente na memória do sistema comprometido, sem jamais ser escrito no disco. Isso significa que análises forenses tradicionais baseadas em imagens de disco não revelam nenhum artefato do RAT. Como um trojan de acesso remoto completo, o RemotePE é capaz de executar uma vasta gama de ações maliciosas: listar e encerrar processos, gerenciar arquivos, executar comandos arbitrários, carregar plugins adicionais e, notavelmente, deletar arquivos de forma segura com sete passagens de sobrescrita – uma técnica de apagamento seguro já observada em outros malwares atribuídos ao grupo Lazarus.

Padrões Operacionais e o Alcance da Campanha

A investigação da Fox-IT revelou insights sobre o modus operandi dos atacantes. As conexões bem-sucedidas com os servidores C2, simuladas pelos pesquisadores, demonstraram que todos os seis envios do payload final ocorreram durante o horário comercial no fuso UTC+9, que corresponde ao horário padrão da Coreia. Isso sugere a presença de operadores humanos monitorando ativamente as conexões. Quatro amostras distintas do malware foram recuperadas, com carimbos de data e hora que variam de julho de 2023 a maio de 2024, indicando um período de desenvolvimento ativo de quase um ano e uma campanha contínua. Nenhuma dessas amostras havia sido detectada anteriormente em plataformas públicas como o VirusTotal antes da divulgação da Fox-IT.

Estratégias de Defesa Contra Ameaças Baseadas em Memória

Diante da sofisticação do RemotePE e sua natureza evasiva, a Fox-IT enfatiza a necessidade de estratégias de detecção proativas. Recomenda-se um monitoramento rigoroso de 'blobs' cifrados com DPAPI em diretórios não usuais, como a pasta DeviceMetadataStore, bem como a observação de DLLs suspeitas registradas como serviços do Windows. Na camada de rede, a detecção pode ser auxiliada pela identificação de consultas DNS a domínios de C2 conhecidos e pela análise de campos específicos nos cabeçalhos HTTP, que podem revelar a atividade do malware, mesmo que seu tráfego seja deliberadamente projetado para se assemelhar a comunicações legítimas. A defesa eficaz contra ameaças como o RemotePE exige uma abordagem multicamadas e uma vigilância constante sobre comportamentos anômalos no sistema e na rede.

Fonte: https://www.tecmundo.com.br