{"id":1685500,"date":"2025-04-24T14:46:34","date_gmt":"2025-04-24T14:46:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/lazaro-llega-a-6-empresas-surcoreanas-a-traves-de-cross-ex-innorix-cero-dia-y-amenazas-de-malware\/"},"modified":"2025-04-24T14:46:39","modified_gmt":"2025-04-24T14:46:39","slug":"lazaro-llega-a-6-empresas-surcoreanas-a-traves-de-cross-ex-innorix-cero-dia-y-amenazas-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lazaro-llega-a-6-empresas-surcoreanas-a-traves-de-cross-ex-innorix-cero-dia-y-amenazas-de-malware\/","title":{"rendered":"L\u00e1zaro llega a 6 empresas surcoreanas a trav\u00e9s de Cross Ex, Innorix cero-d\u00eda y amenazas de malware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de malware \/ amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Al menos seis organizaciones en Corea del Sur han sido atacadas por el prol\u00edfico Grupo de Lazarus vinculado a Corea del Norte como parte de una campa\u00f1a denominado Operaci\u00f3n sincronizada<\/b>.<\/p>\n

La actividad se dirigi\u00f3 a las industrias de software, TI, financieros, fabricaci\u00f3n de semiconductores y telecomunicaciones de Corea del Sur, seg\u00fan un informe de Kaspersky publicado hoy. La primera evidencia de compromiso se detect\u00f3 por primera vez en noviembre de 2024.<\/p>\n

La campa\u00f1a implic\u00f3 una “combinaci\u00f3n sofisticada de una estrategia de agujero de riego y una explotaci\u00f3n de vulnerabilidad dentro del software de Corea del Sur”, los investigadores de seguridad Sojun Ryu y Vasily Berdnikov dicho<\/a>. “Tambi\u00e9n se us\u00f3 una vulnerabilidad de un d\u00eda en el agente de Innorix para el movimiento lateral”.<\/p>\n

Se han observado los ataques allanando el camino para las variantes de herramientas conocidas de L\u00e1zaro como amenazas, Agamen\u00f3n, Wagent, SignBT y CopperHedge.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Lo que hace que estas intrusiones sean particularmente efectivas es la probable explotaci\u00f3n de una vulnerabilidad de seguridad en Cross EX, un software leg\u00edtimo que prevalece en Corea del Sur para permitir el uso de software de seguridad en los sitios web de banca en l\u00ednea y gubernamentales para admitir las firmas digitales antia-kilogging y certificados.<\/p>\n

“El Grupo Lazarus muestra una fuerte comprensi\u00f3n de estos detalles y est\u00e1 utilizando una estrategia dirigida a Corea del Sur que combina vulnerabilidades en tal software con ataques de agujeros de riego”, dijo el proveedor de seguridad cibern\u00e9tica rusa.<\/p>\n

La explotaci\u00f3n de una falla de seguridad en el agente de Innorix para el movimiento lateral es notable por el hecho de que el subgrupo de Andariel del Grupo L\u00e1zaro tambi\u00e9n ha adoptado un enfoque similar para entregar malware como Volgmer y Andardoor.<\/p>\n

El punto de partida de la \u00faltima ola de ataques es un ataque de agujero de riego, que activ\u00f3 el despliegue de amenazas despu\u00e9s de que los objetivos visitaron varios sitios de medios en l\u00ednea de Corea del Sur. Los visitantes que aterrizan en los sitios se filtran utilizando un script del lado del servidor antes de redirigirlos a un dominio controlado por el adversario para servir al malware.<\/p>\n

“Evaluamos con la confianza media de que el sitio redirigido puede haber ejecutado un script malicioso, dirigido a un posible defecto en Cross Ex instalado en la PC objetivo y el lanzamiento de malware”, dijeron los investigadores. “El script finalmente ejecut\u00f3 el synchost.<\/p>\n

\"\"<\/a><\/div>\n

La secuencia de infecci\u00f3n se ha observado adoptando dos fases, utilizando amenazas y meneo en las primeras etapas y luego se firma y cobrehedge para establecer persistencia, realizar reconocimiento y entregar herramientas de vertido de credenciales en los hosts comprometidos.<\/p>\n

Tambi\u00e9n se implementan familias de malware como LPECLIENT para el perfil de v\u00edctimas y la entrega de carga \u00fatil, y un descargador denominado Agamemnon para descargar y ejecutar cargas \u00fatiles adicionales recibidas desde el servidor de comando y control (C2), al tiempo que incorpora simult\u00e1neamente la t\u00e9cnica del infierno para derivar soluciones de seguridad durante la ejecuci\u00f3n.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Una carga \u00fatil descargada por Agamemnon es una herramienta dise\u00f1ada para llevar a cabo un movimiento lateral explotando una falla de seguridad en la herramienta de transferencia de archivos de Innorix Agent. Kaspersky dijo que su investigaci\u00f3n desenterr\u00f3 un archivo arbitrario adicional descargar vulnerabilidad de d\u00eda cero en el agente innorix que tiene desde que ha sido parcheado<\/a> por los desarrolladores.<\/p>\n

“Se espera que los ataques especializados del Grupo L\u00e1zaro dirigen a las cadenas de suministro en Corea del Sur contin\u00faen en el futuro”, dijo Kaspersky.<\/p>\n

“Los atacantes tambi\u00e9n est\u00e1n haciendo esfuerzos para minimizar la detecci\u00f3n mediante el desarrollo de un nuevo malware o mejorando el malware existente. En particular, introducen mejoras en la comunicaci\u00f3n con el C2, la estructura del comando y la forma en que env\u00edan y reciben datos”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n