La ligada a Corea del Norte Grupo Lázaro Se ha observado que utiliza fallas como arma en un software no revelado para violar una entidad comercial financiera en Corea del Sur dos veces en el lapso de un año.
Si bien el primer ataque en mayo de 2022 implicó el uso de una versión vulnerable de un software de certificado que es ampliamente utilizado por instituciones públicas y universidades, la reinfiltración en octubre de 2022 implicó la explotación de un día cero en el mismo programa.
Firma de ciberseguridad AhnLab Security Emergency Response Center (ASEC) dicho se abstiene de mencionar el software debido al hecho de que “la vulnerabilidad aún no se ha verificado por completo y no se ha lanzado un parche de software”.
El colectivo adversario, después de obtener un punto de apoyo inicial por un método desconocido, abusó del error de día cero para realizar un movimiento lateral, poco después de lo cual el motor antimalware AhnLab V3 se desactivó mediante un ataque BYOVD.
Vale la pena señalar aquí que la técnica Bring Your Own Vulnerable Driver, también conocida como BYOVD, ha sido empleada repetidamente por Lazarus Group en los últimos meses, como lo documentaron tanto ESET como AhnLab en una serie de informes a fines del año pasado.
Entre otros pasos para ocultar su comportamiento malicioso, se incluyen cambiar los nombres de los archivos antes de eliminarlos y modificar las marcas de tiempo mediante una técnica antiforense conocida como marcando el tiempo.
El ataque finalmente allanó el camino para múltiples cargas útiles de puerta trasera (Keys.dat y Settings.vwx) que están diseñadas para conectarse a un servidor remoto de comando y control (C2) y recuperar archivos binarios adicionales y ejecutarlos sin archivos.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
El desarrollo se produce una semana después de que ESET arrojara luz sobre un nuevo implante llamado WinorDLL64 que implementa el notorio actor de amenazas por medio de un cargador de malware llamado Wslink.
“El grupo Lazarus está investigando las vulnerabilidades de varios otros programas y está cambiando constantemente sus TTP alterando la forma en que desactivan los productos de seguridad y llevan a cabo técnicas antiforenses para interferir o retrasar la detección y el análisis con el fin de infiltrarse en las instituciones y empresas coreanas”. dijo ASEC.