Se ha observado que el Grupo Lazarus, un infame actor de amenazas vinculado a la República Popular Democrática de Corea (RPDC), aprovecha una “cadena de infección compleja” dirigida a al menos dos empleados pertenecientes a una organización no identificada relacionada con la energía nuclear en el lapso de un mes. Enero de 2024.
Los ataques, que culminaron con el despliegue de una nueva puerta trasera modular denominada CookiePlusson parte de una campaña de ciberespionaje de larga duración conocida como Operación Dream Job, que también es rastreada como NukeSped por la empresa de ciberseguridad Kaspersky. Se sabe que está activo desde al menos 2020, cuando ClearSky lo expuso.
Estas actividades a menudo implican apuntar a desarrolladores y empleados de diversas empresas, incluidos los sectores de defensa, aeroespacial, de criptomonedas y otros sectores globales, con oportunidades laborales lucrativas que, en última instancia, conducen a la implementación de malware en sus máquinas.
“Lazarus está interesado en llevar a cabo ataques a la cadena de suministro como parte de la campaña DeathNote, pero esto se limita principalmente a dos métodos: el primero es enviar un documento malicioso o un visor de PDF troyanizado que muestra descripciones de trabajo personalizadas al objetivo”, firma rusa dicho en un análisis exhaustivo.
“El segundo es distribuir herramientas troyanizadas de acceso remoto como VNC o PuTTY para convencer a los objetivos de que se conecten a un servidor específico para una evaluación de habilidades”.
El último conjunto de ataques documentados por Kaspersky involucra el segundo método, en el que el adversario hace uso de una cadena de infección completamente renovada que entrega una utilidad VNC troyanizada con el pretexto de realizar una evaluación de habilidades para puestos de TI en destacadas empresas aeroespaciales y de defensa.
Vale la pena señalar que el uso por parte de Lazarus Group de versiones maliciosas de aplicaciones VNC para atacar a ingenieros nucleares fue destacado previamente por la compañía en octubre de 2023 en su informe de tendencias APT para el tercer trimestre de 2023.
“Lazarus entregó el primer archivo a al menos dos personas dentro de la misma organización (los llamaremos Host A y Host B)”, dijeron los investigadores Vasily Berdnikov y Sojun Ryu. “Después de un mes, intentaron ataques más intensos contra el primer objetivo”.
Se cree que las aplicaciones VNC, una versión troyanizada de TightVNC llamada “AmazonVNC.exe”, se distribuyeron en forma de imágenes ISO y archivos ZIP. En otros casos, se utilizó una versión legítima de UltraVNC para descargar una DLL maliciosa empaquetada en el archivo ZIP.
La DLL (“vnclang.dll”) sirve como cargador para una puerta trasera denominada MISTPEN, que fue descubierta por Mandiant, propiedad de Google, en septiembre de 2024. Está rastreando el grupo de actividad bajo el nombre UNC2970. Se ha descubierto que MISTPEN, por su parte, entrega dos cargas útiles adicionales con el nombre en código RollMid y una nueva variante de LPEClient.
Kaspersky dijo que también observó la implementación del malware CookieTime en el Host A, aunque se desconoce el método exacto que se utilizó para facilitarlo. Primero descubierto Por la empresa en septiembre y noviembre de 2020, CookieTime recibe su nombre por el uso de valores de cookies codificados en solicitudes HTTP para obtener instrucciones de un servidor de comando y control (C2).
Una investigación más profunda de la cadena de ataque ha revelado que el actor de la amenaza se movió lateralmente del Host A a otra máquina (Host C), donde CookieTime se usó nuevamente para soltar varias cargas útiles entre febrero y junio de 2024, como las siguientes:
- LPEClient, un malware que viene equipado con capacidades para perfilar hosts comprometidos
- ServiceChanger, un malware que detiene un servicio legítimo específico para descargar una DLL maliciosa incrustada en él utilizando el ejecutable a través de la carga lateral de DLL
- Charamel Loader, un cargador de malware que descifra y carga recursos internos como CookieTime, CookiePlus y ForestTiger
- CookiePlus, un nuevo programa malicioso basado en complementos que cargan tanto ServiceChanger como Charamel Loader
“La diferencia entre cada CookiePlus cargado por Charamel Loader y ServiceChanger es la forma en que se ejecuta. El primero se ejecuta solo como una DLL e incluye la información C2 en su sección de recursos”, señalaron los investigadores.
“Este último recupera lo que está almacenado en un archivo externo separado como msado.inc, lo que significa que CookiePlus tiene la capacidad de obtener una lista C2 tanto de un recurso interno como de un archivo externo. De lo contrario, el comportamiento es el mismo”.
CookiePlus recibe su nombre del hecho de que estaba disfrazado de un complemento Notepad++ de código abierto llamado CompararPlus cuando fue detectado en estado salvaje por primera vez. En los ataques dirigidos a la entidad relacionada con la energía nuclear, se ha descubierto que se basan en otro proyecto llamado Envoltorios de DirectX.
El malware sirve como descargador para recuperar una carga útil cifrada con RSA y codificada en Base64 del servidor C2, que luego se decodifica y descifra para ejecutar tres códigos de shell diferentes o una DLL. Los shellcodes están equipados con funciones para recopilar información del sistema y hacer que el módulo principal CookiePlus entre en suspensión durante una cierta cantidad de minutos.
Se sospecha que CookiePlus es el sucesor de MISTPEN debido a superposiciones de comportamiento entre las dos familias de malware, incluido el aspecto de que ambas se han disfrazado de complementos de Notepad++.
“A lo largo de su historia, el grupo Lazarus ha utilizado sólo una pequeña cantidad de marcos modulares de malware como Mata y Gopuram Loader”, dijo Kaspersky. “El hecho de que introduzcan nuevo malware modular, como CookiePlus, sugiere que el grupo trabaja constantemente para mejorar su arsenal y sus cadenas de infección para evadir la detección por parte de los productos de seguridad”.
Los hallazgos se producen cuando la firma de inteligencia blockchain Chainalysis reveló que los actores de amenazas afiliados a Corea del Norte han robado 1.340 millones de dólares en 47 hacks de criptomonedas en 2024, frente a 660,50 millones de dólares en 2023. Esto incluyó la violación de mayo de 2024 del intercambio japonés de criptomonedas, DMM Bitcoin, que sufrió una pérdida de 305 millones de dólares en ese momento.
“Desafortunadamente, parece que los criptoataques de la RPDC son cada vez más frecuentes”, afirma la empresa. dicho. “En particular, los ataques de entre 50 y 100 millones de dólares, y los de más de 100 millones de dólares, ocurrieron con mucha más frecuencia en 2024 que en 2023, lo que sugiere que la RPDC está mejorando y siendo más rápida en ataques masivos”.
About the Author
