El notorio actor de amenazas vinculado a Corea del Norte conocido como Grupo Lázaro se ha atribuido a una nueva campaña global que implica la explotación oportunista de fallas de seguridad en Log4j para implementar troyanos de acceso remoto (RAT) previamente no documentados en hosts comprometidos.
Cisco Talos está rastreando la actividad bajo el nombre Operation Blacksmith, observando el uso de tres familias de malware basadas en DLang, incluida una RAT llamada NineRAT que aprovecha Telegram para comando y control (C2), DLRAT y un descargador denominado BottomLoader.
La firma de ciberseguridad describió las últimas tácticas del adversario como un cambio definitivo y que se superponen con el grupo ampliamente rastreado como Andariel (también conocido como Onyx Sleet o Silent Chollima), un subgrupo dentro del paraguas de Lazarus.
«A Andariel normalmente se le asigna la tarea de acceso inicial, reconocimiento y establecimiento de acceso a largo plazo para espionaje en apoyo de los intereses nacionales del gobierno de Corea del Norte», dijeron en un informe técnico los investigadores de Talos Jung soo An, Asheer Malhotra y Vitor Ventura. informe compartido con The Hacker News.
Las cadenas de ataques implican la explotación de CVE-2021-44228 (también conocido como Log4Shell) contra servidores VMWare Horizon de acceso público para entregar NineRAT. Algunos de los sectores destacados a los que se dirigen incluyen la manufactura, la agricultura y la seguridad física.
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
El abuso de Log4Shell no es sorprendente dado el hecho de que el 2,8 por ciento de las aplicaciones todavía utilizan versiones vulnerables de la biblioteca (desde 2.0-beta9 hasta 2.15.0) después de dos años de divulgación pública, según Veracodey otro 3,8% utiliza Log4j 2.17.0, que, si bien no es vulnerable a CVE-2021-44228, es susceptible a CVE-2021-44832.
Se dice que NineRAT, desarrollado por primera vez alrededor de mayo de 2022, se utilizó ya en marzo de 2023 en un ataque dirigido a una organización agrícola sudamericana y luego nuevamente en septiembre de 2023 a una entidad manufacturera europea. Al utilizar un servicio de mensajería legítimo para las comunicaciones C2, el objetivo es evadir la detección.
El malware actúa como el principal medio de interacción con el punto final infectado, permitiendo a los atacantes enviar comandos para recopilar información del sistema, cargar archivos de interés, descargar archivos adicionales e incluso desinstalarlo y actualizarlo.
«Una vez que se activa NineRAT, acepta comandos preliminares del canal C2 basado en telegramas para volver a tomar huellas dactilares de los sistemas infectados», señalaron los investigadores.
«La nueva toma de huellas dactilares de los sistemas infectados indica que los datos recopilados por Lazarus a través de NineRAT pueden ser compartidos por otros grupos APT y esencialmente residen en un repositorio diferente de los datos de huellas dactilares recopilados inicialmente por Lazarus durante su acceso inicial y fase de implementación del implante».
También se utiliza en los ataques después del reconocimiento inicial una herramienta proxy personalizada llamada HazyLoad que Microsoft identificó previamente como utilizada por el actor de amenazas como parte de intrusiones que arman fallas de seguridad críticas en JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8). HazyLoad se descarga y ejecuta mediante otro malware llamado BottomLoader.
Además, se ha observado que Operation Blacksmith entrega DLRAT, que es a la vez un descargador y un RAT equipado para realizar reconocimiento del sistema, implementar malware adicional y recuperar comandos del C2 y ejecutarlos en los sistemas comprometidos.
«Las múltiples herramientas que brindan acceso por puertas traseras superpuestas presentan a Lazarus Group redundancias en caso de que se descubra una herramienta, lo que permite un acceso altamente persistente», dijeron los investigadores.
La divulgación se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) detalló el uso por parte de Kimsuky de versiones de malware AutoIt como Amadey y RftRAT y su distribución a través de ataques de phishing con archivos adjuntos y enlaces con trampas explosivas en un intento de eludir los productos de seguridad.
Kimusky, también conocido con los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball y Velvet Chollima, es un elemento que opera bajo la Oficina General de Reconocimiento (RGB) de Corea del Norte, que también alberga al Grupo Lazarus.
Fue sancionado por el Departamento del Tesoro de Estados Unidos el 30 de noviembre de 2023 por recopilar inteligencia para apoyar los objetivos estratégicos del régimen.
«Después de tomar el control del sistema infectado, para extraer información, el grupo Kimsuky instala varios programas maliciosos, como registradores de pulsaciones de teclas y herramientas para extraer cuentas y cookies de los navegadores web», afirma ASEC dicho en un análisis publicado la semana pasada.