Se ha observado que el actor de amenazas de Corea del Norte conocido como Lazarus Group cambia su enfoque y evoluciona rápidamente sus herramientas y tácticas como parte de una actividad de larga duración llamada Aviso de muerte.
Si bien el adversario del estado-nación es conocido por sus persistentes ataques al sector de las criptomonedas, también ha apuntado a los sectores automotriz, académico y de defensa en Europa del Este y otras partes del mundo, en lo que se percibe como un giro «significativo».
«En este punto, el actor cambió todos los documentos de señuelo a descripciones de trabajo relacionadas con contratistas de defensa y servicios diplomáticos», dijo el investigador de Kaspersky, Seongsu Park. dicho en un análisis publicado el miércoles.
Se dice que la desviación en la orientación, junto con el uso de vectores de infección actualizados, ocurrió en abril de 2020. Vale la pena señalar que el grupo DeathNote también se rastrea bajo los nombres Operation Dream Job o NukeSped. Mandiant, propiedad de Google, también vinculó un subconjunto de la actividad a un grupo al que llama UNC2970.
Los ataques de phishing dirigidos contra las empresas de cifrado generalmente implican el uso de señuelos con temas de minería de bitcoin en mensajes de correo electrónico para atraer a los objetivos potenciales a abrir documentos con macros para colocar la puerta trasera Manuscrypt (también conocida como NukeSped) en la máquina comprometida.
El objetivo de las verticales automotriz y académica está vinculado a los ataques más amplios de Lazarus Group contra la industria de defensa, como lo documentó la firma rusa de ciberseguridad en octubre de 2021, lo que llevó al despliegue de implantes BLINDINGCAN (también conocido como AIRDRY o ZetaNile) y COPPERHEDGE.
En una cadena de ataque alternativa, el actor de la amenaza empleó una versión troyana de una aplicación de lectura de PDF legítima llamada SumatraPDF Reader para iniciar su rutina maliciosa. Microsoft reveló previamente el uso de aplicaciones de lectura de PDF no autorizadas por parte de Lazarus Group.
Los objetivos de estos ataques incluyeron un proveedor de soluciones de monitoreo de activos de TI con sede en Letonia y un grupo de expertos ubicado en Corea del Sur, el último de los cuales implicó el abuso de software de seguridad legítimo que se usa ampliamente en el país para ejecutar las cargas útiles.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Los ataques gemelos «apuntan a que Lazarus está construyendo capacidades de ataque a la cadena de suministro», señaló Kaspersky en ese momento. Desde entonces, se ha culpado a la tripulación adversaria por el ataque a la cadena de suministro dirigido al proveedor de servicios VoIP empresarial 3CX que salió a la luz el mes pasado.
Kaspersky dijo que descubrió otro ataque en marzo de 2022 que apuntó a varias víctimas en Corea del Sur al explotar el mismo software de seguridad para entregar malware de descarga capaz de entregar una puerta trasera, así como un ladrón de información para recopilar datos de pulsaciones de teclas y portapapeles.
«La puerta trasera recién implantada es capaz de ejecutar una carga útil recuperada con comunicación de canal con nombre», dijo Park, y agregó que también es «responsable de recopilar y reportar la información de la víctima».
Casi al mismo tiempo, se dice que se utilizó la misma puerta trasera para violar a un contratista de defensa en América Latina usando técnicas de carga lateral de DLL al abrir un archivo PDF especialmente diseñado usando un lector de PDF troyano.
El Grupo Lazarus también se ha relacionado con una violación exitosa de otro contratista de defensa en África en julio pasado en la que se envió una «aplicación PDF sospechosa» a través de Skype para finalmente eliminar una variante de una puerta trasera denominada ThreatNeedle y otro implante conocido como ForestTiger para exfiltrar datos. .
«El grupo Lazarus es un actor de amenazas notorio y altamente calificado», dijo Park. «A medida que el grupo Lazarus continúa refinando sus enfoques, es crucial que las organizaciones mantengan la vigilancia y tomen medidas proactivas para defenderse de sus actividades maliciosas».