Los pa\u00edses alineados con Corea del Norte Grupo L\u00e1zaro<\/strong> Se le ha atribuido estar detr\u00e1s de una nueva campa\u00f1a en la que un proveedor de software an\u00f3nimo se vio comprometido mediante la explotaci\u00f3n de fallos de seguridad conocidos en otro software de alto perfil.<\/p>\n Las secuencias de ataque, seg\u00fan Kaspersky, culminaron con el despliegue de familias de malware como SIGNBT y LPEClient, una conocida herramienta de pirater\u00eda utilizada por el actor de amenazas para crear perfiles de v\u00edctimas y entregar cargas \u00fatiles.<\/p>\n “El adversario demostr\u00f3 un alto nivel de sofisticaci\u00f3n, empleando t\u00e9cnicas de evasi\u00f3n avanzadas e introduciendo malware SIGNBT para controlar a las v\u00edctimas”, dijo el investigador de seguridad Seongsu Park. dicho<\/a>. “El malware SIGNBT utilizado en este ataque emple\u00f3 una cadena de infecci\u00f3n diversa y t\u00e9cnicas sofisticadas”.<\/p>\n El proveedor ruso de ciberseguridad dijo que la empresa que desarroll\u00f3 el software explotado hab\u00eda sido v\u00edctima de un ataque de Lazarus varias veces, lo que indica un intento de robar el c\u00f3digo fuente o envenenar la cadena de suministro de software, como en el caso del ataque a la cadena de suministro 3CX.<\/p>\n El Grupo Lazarus “continu\u00f3 explotando vulnerabilidades en el software de la empresa mientras apuntaba a otros fabricantes de software”, a\u00f1adi\u00f3 Park. Como parte de la \u00faltima actividad, se dice que varias v\u00edctimas fueron identificadas a mediados de julio de 2023.<\/p>\n Las v\u00edctimas, seg\u00fan la empresa, fueron atacadas a trav\u00e9s de un software de seguridad leg\u00edtimo dise\u00f1ado para cifrar las comunicaciones web mediante certificados digitales. El nombre del software no fue revelado y se desconoce el mecanismo exacto por el cual el software fue utilizado como arma para distribuir SIGNBT.<\/p>\n Adem\u00e1s de depender de varias t\u00e1cticas para establecer y mantener la persistencia en los sistemas comprometidos, las cadenas de ataque emplean un cargador en memoria que act\u00faa como un conducto para lanzar el malware SIGNBT.<\/p>\n La funci\u00f3n principal de SIGNBT es establecer contacto con un servidor remoto y recuperar m\u00e1s comandos para ejecutarlos en el host infectado. El malware recibe su nombre por el uso de cadenas distintivas que tienen el prefijo “SIGNBT” en sus comunicaciones de comando y control (C2) basadas en HTTP.<\/p>\n La puerta trasera de Windows, por su parte, cuenta con una amplia gama de capacidades para ejercer control sobre el sistema de la v\u00edctima. Esto incluye enumeraci\u00f3n de procesos, operaciones de archivos y directorios, y la implementaci\u00f3n de cargas \u00fatiles como LPEClient y otras utilidades de volcado de credenciales.<\/p>\n Kaspersky dijo que identific\u00f3 al menos tres campa\u00f1as dispares de Lazarus en 2023 utilizando diversos vectores de intrusi\u00f3n y procedimientos de infecci\u00f3n, pero confi\u00f3 constantemente en el malware LPEClient para entregar el malware de etapa final.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/El-grupo-norcoreano-Lazarus-ataca-a-un-proveedor-de-software.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n