Los países alineados con Corea del Norte Grupo Lázaro Se le ha atribuido estar detrás de una nueva campaña en la que un proveedor de software anónimo se vio comprometido mediante la explotación de fallos de seguridad conocidos en otro software de alto perfil.
Las secuencias de ataque, según Kaspersky, culminaron con el despliegue de familias de malware como SIGNBT y LPEClient, una conocida herramienta de piratería utilizada por el actor de amenazas para crear perfiles de víctimas y entregar cargas útiles.
«El adversario demostró un alto nivel de sofisticación, empleando técnicas de evasión avanzadas e introduciendo malware SIGNBT para controlar a las víctimas», dijo el investigador de seguridad Seongsu Park. dicho. «El malware SIGNBT utilizado en este ataque empleó una cadena de infección diversa y técnicas sofisticadas».
El proveedor ruso de ciberseguridad dijo que la empresa que desarrolló el software explotado había sido víctima de un ataque de Lazarus varias veces, lo que indica un intento de robar el código fuente o envenenar la cadena de suministro de software, como en el caso del ataque a la cadena de suministro 3CX.
El Grupo Lazarus «continuó explotando vulnerabilidades en el software de la empresa mientras apuntaba a otros fabricantes de software», añadió Park. Como parte de la última actividad, se dice que varias víctimas fueron identificadas a mediados de julio de 2023.
Las víctimas, según la empresa, fueron atacadas a través de un software de seguridad legítimo diseñado para cifrar las comunicaciones web mediante certificados digitales. El nombre del software no fue revelado y se desconoce el mecanismo exacto por el cual el software fue utilizado como arma para distribuir SIGNBT.
Además de depender de varias tácticas para establecer y mantener la persistencia en los sistemas comprometidos, las cadenas de ataque emplean un cargador en memoria que actúa como un conducto para lanzar el malware SIGNBT.
La función principal de SIGNBT es establecer contacto con un servidor remoto y recuperar más comandos para ejecutarlos en el host infectado. El malware recibe su nombre por el uso de cadenas distintivas que tienen el prefijo «SIGNBT» en sus comunicaciones de comando y control (C2) basadas en HTTP.
- SIGNBTLG, para conexión inicial
- SIGNBTKE, para recopilar metadatos del sistema al recibir un mensaje ÉXITO del servidor C2
- SIGNBTGC, para buscar comandos
- SIGNBTFI, por fallo de comunicación
- SIGNBTSR, para una comunicación exitosa
La puerta trasera de Windows, por su parte, cuenta con una amplia gama de capacidades para ejercer control sobre el sistema de la víctima. Esto incluye enumeración de procesos, operaciones de archivos y directorios, y la implementación de cargas útiles como LPEClient y otras utilidades de volcado de credenciales.
Kaspersky dijo que identificó al menos tres campañas dispares de Lazarus en 2023 utilizando diversos vectores de intrusión y procedimientos de infección, pero confió constantemente en el malware LPEClient para entregar el malware de etapa final.
Una de esas campañas allanó el camino para un implante con el nombre en código Gopuram, que se utilizó en ataques cibernéticos dirigidos a empresas de criptomonedas aprovechando una versión troyanizada del software de videoconferencia y voz 3CX.
Los últimos hallazgos son sólo el último ejemplo de operaciones cibernéticas vinculadas a Corea del Norte, además de ser un testimonio del arsenal de herramientas, tácticas y técnicas en constante evolución y expansión del Grupo Lazarus.
«El Grupo Lazarus sigue siendo un actor de amenazas muy activo y versátil en el panorama actual de ciberseguridad», afirmó Park.
«El actor de amenazas ha demostrado un profundo conocimiento de los entornos de TI, refinando sus tácticas para incluir la explotación de vulnerabilidades en software de alto perfil. Este enfoque les permite difundir eficientemente su malware una vez que se logran las infecciones iniciales».