El prolífico actor de estado-nación de Corea del Norte conocido como Lazarus Group ha sido vinculado a un nuevo troyano de acceso remoto llamado MagicRAT.
Se dice que la pieza de malware previamente desconocida se implementó en las redes de las víctimas que se habían violado inicialmente a través de la explotación exitosa de los servidores VMware Horizon orientados a Internet, dijo Cisco Talos en un informe compartido con The Hacker News.
«Si bien es una capacidad RAT relativamente simple, se construyó recurriendo a la Marco Qtcon la única intención de hacer que el análisis humano sea más difícil y la detección automatizada a través del aprendizaje automático y la heurística sea menos probable», los investigadores de Talos Jung soo An, Asheer Malhotra y Vitor Ventura dijo.
Lazarus Group, también conocido como APT38, Dark Seoul, Hidden Cobra y Zinc, se refiere a un grupo de empresas con motivación financiera e impulsadas por el espionaje. actividades cibernéticas emprendidas por el gobierno de Corea del Norte como un medio para eludir las sanciones impuestas al país y cumplir sus objetivos estratégicos.
Al igual que otros colectivos paraguas Winnti y MuddyWater, el colectivo de piratería patrocinado por el estado también tiene grupos «derivados» como Bluenoroff y Andarielque se centran en tipos específicos de ataques y objetivos.
Mientras que el subgrupo Bluenoroff se enfoca en atacar instituciones financieras extranjeras y perpetrar robos monetarios, Andariel se dedica a perseguir organizaciones y negocios de Corea del Sur.
«Lazarus desarrolla sus propias herramientas de ataque y malware, puede utilizar técnicas de ataque innovadoras, trabaja de forma muy metódica y se toma su tiempo», firma de ciberseguridad NCC Group dijo en un informe que detalla al actor de la amenaza.
«En particular, los métodos de Corea del Norte tienen como objetivo evitar la detección por parte de los productos de seguridad y permanecer sin ser detectados dentro de los sistemas pirateados durante el mayor tiempo posible».
La última incorporación a su amplio conjunto de herramientas de malware muestra la capacidad del grupo para emplear una multitud de tácticas y técnicas según sus objetivos y sus objetivos operativos.
Un implante basado en C++, MagicRAT está diseñado para lograr la persistencia mediante la creación de tareas programadas en el sistema comprometido. También es «bastante simple» en el sentido de que proporciona al atacante un shell remoto para ejecutar comandos arbitrarios y realizar operaciones con archivos.
MagicRAT también es capaz de lanzar cargas útiles adicionales recuperadas de un servidor remoto en hosts infectados. Uno de los ejecutables recuperados del servidor de comando y control (C2) toma la forma de un archivo de imagen GIF, pero en realidad es un escáner de puerto liviano.
Además, se ha encontrado que la infraestructura C2 asociada con MagicRAT alberga y sirve versiones más nuevas de TigreRATuna puerta trasera anteriormente atribuida a Andariel y está diseñada para ejecutar comandos, tomar capturas de pantalla, registrar pulsaciones de teclas y recopilar información del sistema.
En la última variante también se incorpora una función de volcado de USB que permite al adversario buscar archivos con extensiones específicas, además de sentar las bases para implementar la captura de video desde cámaras web.
«El descubrimiento de MagicRAT en la naturaleza es una indicación de las motivaciones de Lazarus para crear rápidamente un nuevo malware personalizado para usar junto con su malware previamente conocido, como TigerRAT, para apuntar a organizaciones en todo el mundo», dijeron los investigadores.