Proveedores de energía a nivel mundial, son el nuevo objetivo de los hackers norcoreanos de Lazarus
Una campaña maliciosa montada por el grupo Lazarus, vinculado a Corea del Norte, tiene como objetivo a proveedores de energía de todo el mundo, incluidos los de Estados Unidos, Canadá y Japón. Estados Unidos, Canadá y Japón son algunos de los principales objetivos de Lazarus, el equipo de ciberdelincuentes norcoreanos que ha decidido crear una campaña maliciosa dirigida a proveedores de energía en todo el mundo. "La campaña pretende infiltrarse en organizaciones de todo el mundo para establecer un acceso a largo plazo y posteriormente exfiltrar datos de interés para el estado-nación del adversario", indicó Cisco Talos, la empresa de ciberseguridad. Algunos elementos de los ataques de espionaje ya son de dominio público, por cortesía de informes anteriores de Symantec, propiedad de Broadcom y de AhnLab, a principios de abril y mayo. Según Symantec la operación pertenece a Stonefly, un subgrupo de Lazarus más conocido como “Andariel”, “Guardian of Peace”, “OperationTroy” y “Silent Chollima”. Anteriormente estos ataques llevaron a la instrumentación de los implantes Preft (también conocido como Dtrack) y NukeSped (conocido como Manuscrypt), la última ola de ataques destaca por emplear otras dos piezas de malware: VSingle, un bot HTTP que ejecuta código arbitrario desde una red remota y un backdoor Golang llamado YamaBot. Para la campaña de acceso, los hackers usaron un nuevo troyano remoto llamado MagicRAT que viene con capacidades para evadir la detección y lanzar cargas útiles adicionales en los sistemas infectados. "Aunque se han aplicado las mismas tácticas en ambos ataques, los implantes de malware resultantes desplegados han sido distintos entre sí, lo que indica la gran variedad de implantes disponibles a disposición de Lazarus", así lo afirman los investigadores Jung soo An, Asheer Malhotra y Vitor Ventura. El acceso inicial a las redes empresariales se facilita mediante la explotación de vulnerabilidades en los productos de VMware (por ejemplo, Log4Shell), con el objetivo final de establecer un acceso persistente para realizar actividades en apoyo de los objetivos del gobierno norcoreano. Se dice que el uso de VSingle en una cadena de ataque permitió al actor de la amenaza llevar a cabo una serie de actividades como el reconocimiento, la exfiltración y el backdooring manual, lo que permitió a los operadores tener un sólido conocimiento del entorno de la víctima. Otras tácticas adoptadas por el grupo, además del uso de malware a medida, incluyen la recolección de credenciales a través de herramientas como Mimikatz y Procdump, la desactivación de componentes antivirus y el reconocimiento de los servicios de Active Directory e incluso la toma de medidas para limpiar sus rastros después de activar las puertas traseras en el punto final.
Una campaña maliciosa montada por el grupo Lazarus, vinculado a Corea del Norte, tiene como objetivo a proveedores de energía de todo el...