Se ha observado que el Grupo Lazarus, un infame actor de amenazas vinculado a la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC), aprovecha una “cadena de infecci\u00f3n compleja” dirigida a al menos dos empleados pertenecientes a una organizaci\u00f3n no identificada relacionada con la energ\u00eda nuclear en el lapso de un mes. Enero de 2024.<\/p>\n
Los ataques, que culminaron con el despliegue de una nueva puerta trasera modular denominada CookiePlus<\/strong>son parte de una campa\u00f1a de ciberespionaje de larga duraci\u00f3n conocida como Operaci\u00f3n Dream Job, que tambi\u00e9n es rastreada como NukeSped por la empresa de ciberseguridad Kaspersky. Se sabe que est\u00e1 activo desde al menos 2020, cuando ClearSky lo expuso.<\/p>\n Estas actividades a menudo implican apuntar a desarrolladores y empleados de diversas empresas, incluidos los sectores de defensa, aeroespacial, de criptomonedas y otros sectores globales, con oportunidades laborales lucrativas que, en \u00faltima instancia, conducen a la implementaci\u00f3n de malware en sus m\u00e1quinas.<\/p>\n “Lazarus est\u00e1 interesado en llevar a cabo ataques a la cadena de suministro como parte de la campa\u00f1a DeathNote, pero esto se limita principalmente a dos m\u00e9todos: el primero es enviar un documento malicioso o un visor de PDF troyanizado que muestra descripciones de trabajo personalizadas al objetivo”, firma rusa dicho<\/a> en un an\u00e1lisis exhaustivo.<\/p>\n “El segundo es distribuir herramientas troyanizadas de acceso remoto como VNC o PuTTY para convencer a los objetivos de que se conecten a un servidor espec\u00edfico para una evaluaci\u00f3n de habilidades”.<\/p>\n El \u00faltimo conjunto de ataques documentados por Kaspersky involucra el segundo m\u00e9todo, en el que el adversario hace uso de una cadena de infecci\u00f3n completamente renovada que entrega una utilidad VNC troyanizada con el pretexto de realizar una evaluaci\u00f3n de habilidades para puestos de TI en destacadas empresas aeroespaciales y de defensa. <\/p>\n Vale la pena se\u00f1alar que el uso por parte de Lazarus Group de versiones maliciosas de aplicaciones VNC para atacar a ingenieros nucleares fue destacado previamente por la compa\u00f1\u00eda en octubre de 2023 en su informe de tendencias APT para el tercer trimestre de 2023.<\/p>\n “Lazarus entreg\u00f3 el primer archivo a al menos dos personas dentro de la misma organizaci\u00f3n (los llamaremos Host A y Host B)”, dijeron los investigadores Vasily Berdnikov y Sojun Ryu. “Despu\u00e9s de un mes, intentaron ataques m\u00e1s intensos contra el primer objetivo”.<\/p>\n Se cree que las aplicaciones VNC, una versi\u00f3n troyanizada de TightVNC llamada “AmazonVNC.exe”, se distribuyeron en forma de im\u00e1genes ISO y archivos ZIP. En otros casos, se utiliz\u00f3 una versi\u00f3n leg\u00edtima de UltraVNC para descargar una DLL maliciosa empaquetada en el archivo ZIP.<\/p>\n La DLL (“vnclang.dll”) sirve como cargador para una puerta trasera denominada MISTPEN, que fue descubierta por Mandiant, propiedad de Google, en septiembre de 2024. Est\u00e1 rastreando el grupo de actividad bajo el nombre UNC2970. Se ha descubierto que MISTPEN, por su parte, entrega dos cargas \u00fatiles adicionales con el nombre en c\u00f3digo RollMid y una nueva variante de LPEClient.<\/p>\n Kaspersky dijo que tambi\u00e9n observ\u00f3 la implementaci\u00f3n del malware CookieTime en el Host A, aunque se desconoce el m\u00e9todo exacto que se utiliz\u00f3 para facilitarlo. Primero descubierto<\/a> Por la empresa en septiembre y noviembre de 2020, CookieTime recibe su nombre por el uso de valores de cookies codificados en solicitudes HTTP para obtener instrucciones de un servidor de comando y control (C2).<\/p>\n Una investigaci\u00f3n m\u00e1s profunda de la cadena de ataque ha revelado que el actor de la amenaza se movi\u00f3 lateralmente del Host A a otra m\u00e1quina (Host C), donde CookieTime se us\u00f3 nuevamente para soltar varias cargas \u00fatiles entre febrero y junio de 2024, como las siguientes:<\/p>\n “La diferencia entre cada CookiePlus cargado por Charamel Loader y ServiceChanger es la forma en que se ejecuta. El primero se ejecuta solo como una DLL e incluye la informaci\u00f3n C2 en su secci\u00f3n de recursos”, se\u00f1alaron los investigadores.<\/p>\n “Este \u00faltimo recupera lo que est\u00e1 almacenado en un archivo externo separado como msado.inc, lo que significa que CookiePlus tiene la capacidad de obtener una lista C2 tanto de un recurso interno como de un archivo externo. De lo contrario, el comportamiento es el mismo”.<\/p>\n CookiePlus recibe su nombre del hecho de que estaba disfrazado de un complemento Notepad++ de c\u00f3digo abierto llamado CompararPlus<\/a> cuando fue detectado en estado salvaje por primera vez. En los ataques dirigidos a la entidad relacionada con la energ\u00eda nuclear, se ha descubierto que se basan en otro proyecto llamado Envoltorios de DirectX<\/a>.<\/p>\n El malware sirve como descargador para recuperar una carga \u00fatil cifrada con RSA y codificada en Base64 del servidor C2, que luego se decodifica y descifra para ejecutar tres c\u00f3digos de shell diferentes o una DLL. Los shellcodes est\u00e1n equipados con funciones para recopilar informaci\u00f3n del sistema y hacer que el m\u00f3dulo principal CookiePlus entre en suspensi\u00f3n durante una cierta cantidad de minutos.<\/p>\n Se sospecha que CookiePlus es el sucesor de MISTPEN debido a superposiciones de comportamiento entre las dos familias de malware, incluido el aspecto de que ambas se han disfrazado de complementos de Notepad++.<\/p>\n “A lo largo de su historia, el grupo Lazarus ha utilizado s\u00f3lo una peque\u00f1a cantidad de marcos modulares de malware como Mata y Gopuram Loader”, dijo Kaspersky. “El hecho de que introduzcan nuevo malware modular, como CookiePlus, sugiere que el grupo trabaja constantemente para mejorar su arsenal y sus cadenas de infecci\u00f3n para evadir la detecci\u00f3n por parte de los productos de seguridad”.<\/p>\n Los hallazgos se producen cuando la firma de inteligencia blockchain Chainalysis revel\u00f3 que los actores de amenazas afiliados a Corea del Norte han robado 1.340 millones de d\u00f3lares en 47 hacks de criptomonedas en 2024, frente a 660,50 millones de d\u00f3lares en 2023. Esto incluy\u00f3 la violaci\u00f3n de mayo de 2024 del intercambio japon\u00e9s de criptomonedas, DMM Bitcoin, que sufri\u00f3 una p\u00e9rdida de 305 millones de d\u00f3lares en ese momento.<\/p>\n “Desafortunadamente, parece que los criptoataques de la RPDC son cada vez m\u00e1s frecuentes”, afirma la empresa. dicho<\/a>. “En particular, los ataques de entre 50 y 100 millones de d\u00f3lares, y los de m\u00e1s de 100 millones de d\u00f3lares, ocurrieron con mucha m\u00e1s frecuencia en 2024 que en 2023, lo que sugiere que la RPDC est\u00e1 mejorando y siendo m\u00e1s r\u00e1pida en ataques masivos”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/El-grupo-Lazarus-fue-detectado-atacando-a-ingenieros-nucleares-con.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n