El Grupo Lazarus pudo haber estado detrás de los ataques de 2019 en …


La telemetría sugiere que el actor norcoreano estaba detrás de una importante campaña de ciberespionaje centrada en compañías militares y aeroespaciales, dice ESET.

El Grupo Lazarus de Corea del Norte puede haber estado detrás de una importante campaña de ciberespionaje dirigida a compañías militares y aeroespaciales de alto perfil en Europa entre septiembre y diciembre del año pasado, sugiere un nuevo análisis de los ataques.

Investigadores de ESET realizaron una investigación conjunta de la campaña con dos de sus víctimas. La investigación descubrió nueva información sobre cómo se desarrollaron los ataques, el malware utilizado en la campaña y las tácticas que el grupo de amenazas usó para evitar la detección.

Entre los descubrimientos se encuentra que los atacantes utilizaron la ingeniería social en forma de ofertas de trabajo falsas a través de LinkedIn para lograr que las personas de las organizaciones seleccionadas descarguen inicialmente malware en sus sistemas. Luego utilizaron ese punto de apoyo para implementar una variedad de malware personalizado y herramientas de código abierto para recopilar datos de la pink de la víctima. También utilizaron herramientas legítimas, funciones del sistema operativo y las llamadas técnicas de vivir fuera de la tierra para moverse en redes comprometidas y permanecer sin ser detectados en ellas el mayor tiempo posible.

Según ESET, la motivación principal de Open up In (ter) ception, como el vendedor llama a la campaña, parece haber sido el ciberespionaje. Pero al menos en una instancia, los actores de la amenaza intentaron monetizar su acceso a una pink de víctimas a través de un ataque de compromiso de correo electrónico comercial (BEC), dijo ESET.

La telemetría disponible sobre malware y las medidas de ofuscación que se utilizaron en los ataques apuntan al Grupo Lazarus. Sin embargo, no hay evidencia para vincular de manera concluyente los ataques al grupo, señaló el proveedor de seguridad.

«Nuestra investigación descubrió una operación altamente específica noteworthy por su convincente esquema de ingeniería social basado en LinkedIn, malware modular personalizado y trucos de evasión de detección astutos», dijo ESET en su informe.

Las capacidades cibernéticas de Corea del Norte han sido motivo de creciente preocupación dentro de la comunidad de seguridad en los últimos años. Muchos creen que Pyongyang está utilizando un ejército de agentes cibernéticos para robar secretos militares, comerciales y económicos de otros países. También se cree que a los grupos cibernéticos norcoreanos, como Lázaro, mejor conocido por sus ataques contra Sony, se les ha confiado la responsabilidad de recaudar fondos para la nación afectada por las sanciones a través de ransomware y otros ataques con motivación financiera. Por ejemplo, los investigadores de seguridad han vinculado a Lazarus con un ataque al Banco de Bangladesh en 2016 que le valió al grupo unos $ 81 millones. En respuesta a dicha actividad, el año pasado el Departamento de Estado de los Estados Unidos impuso sanciones al Grupo Lazarus y a dos grupos asociados con él, Bluenoroff y Andarie.

Gran ejército cibernético
En una entrevista con Enterprise Insider Esta semana, Daniel Russel, vicepresidente de seguridad internacional y diplomacia del Instituto de Política de la Sociedad de Asia, describió a Corea del Norte como un ejército de hackers de 7,000 personas. Muchos de ellos operan fuera de Rusia, China y, en cierta medida, India porque la propia Online de Corea del Norte se ha quedado sin aire del resto del mundo. Esto ha hecho que sea especialmente difícil para los investigadores cibernéticos atribuir ataques a Corea del Norte y ha aumentado el riesgo de que se culpe a China o Rusia por ellos, según se cita a Russel.

En su reporte Esta semana, ESET dijo que su investigación mostró que los actores detrás de Procedure In (ter) ception crearon perfiles falsos de LinkedIn que los retrataban como personalized de recursos humanos en reconocidas firmas militares y aeroespaciales estadounidenses como Basic Dynamics y Collins Aerospace. Los operativos enviaron ofertas de trabajo aparentemente atractivas, pero falsas, a individuos específicos, aquellos con responsabilidades técnicas y comerciales, a las empresas seleccionadas.

En algunos casos, los atacantes insertarían enlaces a sitios de descarga de malware directamente en sus mensajes de LinkedIn. En otras ocasiones, intentarían engañar a las personas específicas para que descarguen malware oculto en archivos adjuntos enviados a través de cuentas de correo electrónico correspondientes a sus personajes de LinkedIn, dijo ESET.

La investigación del vendedor de seguridad descubrió varias herramientas que usaron los atacantes. Estos incluían un descargador personalizado, una puerta trasera personalizada en forma de una biblioteca de enlace dinámico y cargadores personalizados para ejecutar malware. Los atacantes también usaron una versión modificada de la herramienta PowerShdll disponible públicamente para ejecutar PowerShell sin tener que acceder a powershell (.) Exe. Como parte de su cadena de ataque, los actores de la amenaza abusaron de utilidades legítimas preinstaladas de Home windows como WMIC, certutil, rundll32 y regsvr32 para descargar, decodificar y ejecutar su malware.

Los atacantes emplearon múltiples tácticas para tratar de ocultar su actividad maliciosa. Por ejemplo, cambiaron el nombre de sus archivos y carpetas con los nombres de program legítimo de compañías como Nvidia, Intel, Skype, Mozilla y OneDrive. Los atacantes también abusaron de múltiples utilidades de Windows y cambiaron el nombre de las utilidades para hacerlas más difíciles de encontrar. Además, dijo ESET, los atacantes firmaron digitalmente su programa de descarga de malware y puerta trasera personalizados utilizando un certificado válido perteneciente a una empresa con sede en los EE. UU.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia primary