O grupo norte-coreano Lazarus APT foi associado a uma nova campanha de coleta de informações chamada ‘No Pineapple’. Ele abusou de falhas de segurança conhecidas em dispositivos Zimbra não corrigidos para infectar sistemas visando organizações de pesquisa dos setores público e privado nos setores de saúde e energia.

Os alvos eram organizações de pesquisa em saúde na Índia, um departamento de engenharia química de uma universidade de pesquisa, um fabricante de tecnologia usada nos setores de energia, pesquisa, defesa e saúde; e um cliente não identificado.

Além disso, acredita-se que cerca de 100 GB de dados sejam exportados pelo grupo de hackers junto com o comprometimento de um cliente não identificado. A invasão digital ocorreu no terceiro trimestre de 2022.

Em um dos ataques, Lazarus obteve acesso a um servidor de correio Zimbra defeituoso, abusando de falhas RCE rastreadas como CVE-2022-27925 e CVE-2022-37042. Além disso, uma falha de escalação de privilégio local foi abusada no servidor Zimbra ( CVE-2021-4034 ), permitindo que o grupo de ameaças coletasse dados confidenciais da caixa de correio.

O grupo Lazarus é conhecido por atualizar regularmente seu arsenal de ataque com novas ferramentas e táticas; desta vez inclui a exploração de servidores Zimbra. Para proteção contra essas ameaças, a primeira linha de defesa é definitivamente ter um sistema robusto de gerenciamento de patches instalado.