\nOs hackers est\u00e3o reusando ativamente o que j\u00e1 desenvolveram: pegam emprestado fragmentos de c\u00f3digos de programas maliciosos e os implementam em outros. Al\u00e9m disso, os droppers \u2013 arquivos especiais para instalar varia\u00e7\u00f5es diferentes de carga maliciosa \u2013 mant\u00eam todos os dados dentro de um arquivo ZIP protegido. A senha era a mesma em diversas campanhas diferentes. Na verdade, ela estava codificada no dropper.<\/p>\n
At\u00e9 os m\u00e9todos que os criminosos usaram para eliminar rastros de sua presen\u00e7a dos sistemas infectados foram \u00fateis para identificar o grupo.<\/p>\n
http:\/\/twitter.com\/kaspersky\/status\/698175098260480000\/photo\/1<\/a><\/p>\n A investiga\u00e7\u00e3o revelou que o Grupo Lazarus estava envolvido em campanhas de espionagem militar e sabotagem de opera\u00e7\u00f5es de institui\u00e7\u00f5es financeiras, est\u00fadios de m\u00eddia e empresas de manufatura. At\u00e9 onde sabemos, a maioria das v\u00edtimas residiam na Cor\u00e9ia do Sul, \u00cdndia, China, Brasil, R\u00fassia e Turquia. Esses criminosos criaram malwares como o Hangman (2014-2905) e Wild P\u00f3sitron (tamb\u00e9m conhecido como Duuzer, 2015).<\/p>\n A Kaspersky Lab compartilhou os resultados da investiga\u00e7\u00e3o com os Laborat\u00f3rios AlienVault. Os pesquisadores das duas empresas decidiram unir seus esfor\u00e7os e conduzir uma investiga\u00e7\u00e3o conjunta. No fim, as atividades do Grupo Lazarus tamb\u00e9m estavam sendo investigadas por outras empresas e especialistas em seguran\u00e7a. Uma delas, a Novetta, desenvolveu uma linha de investiga\u00e7\u00e3o que coincidia com parte da \u201cOpera\u00e7\u00e3o Blockbuster<\/a>\u201c, e n\u00f3s ficamos felizes em ajudar. <\/p>\n O que sabemos sobre esses criminosos?<\/strong> Julgando pelos hor\u00e1rios das atividades dos membros, vivem no GMT+8 ou GMT+9. Criminosos come\u00e7am a trabalhar por volta da meia noite (00h GMT) e param para almo\u00e7ar por volta de 3 da manh\u00e3 GMT. Al\u00e9m disso, \u00e9 claro que os membros da gangue s\u00e3o muito trabalhadores: seus dias \u00fateis duram de 15-16 horas. O Grupo Lazarus \u00e9 provavelmente um dos mais empenhados, especializados em APT que conhecemos (e j\u00e1 estudamos muitos nos \u00faltimos anos).<\/p>\n Existe outra observa\u00e7\u00e3o interessante. Julgando pelas amostras do Grupo Lazarus, reunidas pela Novetta, quase dois ter\u00e7os dos arquivos execut\u00e1veis dos cibercriminosos inclu\u00edam elementos t\u00edpicos de falantes de coreano. <\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/02\/06135505\/lazarus-map-EN.png\")
<\/p>\n
\nA primeira amea\u00e7a produzida pelo Grupo Lazarus foi em 2009. Desde de 2010, o n\u00famero cresceu dinamicamente. Isso caracteriza o Grupo Lazarus como um autor experiente e de amea\u00e7as est\u00e1veis. Em 2014-2015, a produtividade atingiu um pico e os criminosos continuam ativos em 2016. <\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/02\/06135504\/operation-blockbuster-samples-count.png\")
<\/p>\n