El Grupo Lazarus de Corea del Norte se diversifica en la tarjeta …



Desde al menos mayo de 2019, el actor de amenazas patrocinado por el estado ha robado datos de tarjetas de docenas de minoristas, incluidas las principales empresas estadounidenses.

El Grupo Lazarus en constante evolución de Corea del Norte parece haberse diversificado en el robo de tarjetas de pago en línea durante el último año.

Sansec, una firma de seguridad con sede en los Países Bajos, dice que sus investigadores han encontrado evidencia que vincula al grupo de amenazas persistentes avanzadas (APT) a los ataques en los sitios internet de varios grandes minoristas de EE. UU. Desde al menos mayo de 2019. En cada uno de los ataques, la amenaza los actores colocaron un código malicioso para capturar los datos de la tarjeta de pago ingresados ​​en las páginas de pago por personas que pagan por compras en estos sitios.

En un informe el lunes, Sansec dice que hasta ahora no ha podido determinar cómo los atacantes lograron violar estos sitios inicialmente para plantar el código de robo de tarjetas. Pero los datos de los ataques muestran que los miembros del Grupo Lazarus usaron el sitio internet de una agencia de modelos italiana, una tienda de música classic en Irán, una librería common en Nueva Jersey y otros sitios para canalizar datos de tarjetas de pago robadas a los mercados de Dark World wide web. Los sitios, que ejecutaban WordPress, estaban previamente comprometidos y reutilizados para distribuir los activos robados, dice Sansec en su informe.

«Utilizaron estos sitios comprometidos de WordPress como representantes de exfiltración», dice Willem de Groot, investigador de seguridad de Sansec. «Durante las compras en la tienda, los datos de la tarjeta se registraron y se enviaron a estos nodos de exfiltración». El propósito de estos poderes es ocultar el verdadero destino de los activos robados, señala.

En su reporte, Sansec dice que ha identificado «múltiples vínculos independientes entre la actividad reciente de descremado y las operaciones de piratería norcoreanas previamente documentadas». Entre las pruebas se encuentran varias direcciones IP y dominios que se han asociado previamente con el Grupo Lazarus.

El informe Sansec identificó a la firma de joyas y accesorios de moda Claire&#39s como una de las organizaciones afectadas en los ataques. Pero no ofreció ninguna información sobre otras víctimas o el volumen de datos de la tarjeta que Lazarus Team podría haber robado hasta ahora. Según De Groot, la inteligencia que Sansec ha reunido sugiere que el grupo APT se infiltró en al menos «unas pocas docenas de tiendas con varios grandes minoristas estadounidenses entre ellos».

En los ataques que involucraron a algunas de las marcas más grandes, los miembros del Grupo Lazarus usaron dominios de exfiltración dedicados, en lugar de los sitios net comprometidos de WordPress, para canalizar datos de tarjetas robadas a mercados subterráneos, dice De Groot.

«Está claro que se invirtió mucha preparación y esfuerzo en la creación de estas campañas posteriores», dice. «Esto contrasta con la actividad de Magecart en los últimos años, que fue en gran medida oportunista».

Tácticas en constante evolución
El Grupo Lazarus (también conocido como Concealed Cobra) es un grupo APT muy conocido que el gobierno de los EE. UU. Y otros han descrito que actúa en nombre del gobierno de Corea del Norte (RPDC). En los últimos años, el grupo se ha asociado con una serie de ataques de alto perfil, incluido uno en Sony Pictures en 2014, los ataques de ransomware WannaCry y otro en el Banco de Bangladesh, que le generó unos $ 81 millones. En los últimos años, el grupo también se ha asociado con numerosas campañas de minería de criptomonedas.

«A lo largo de los años, los actores de la RPDC han demostrado su capacidad para utilizar instrumentos y técnicas que generalmente no están relacionadas con las operaciones de APT», dice Jim Walter, investigador de amenazas de SentinelOne. Como ejemplos, señala la criptominería de Lazarus Team y su adopción de malware básico y otras herramientas comunes.

«En SentinelLabs, revelamos en el pasado cómo los actores de la RPDC están trabajando con herramientas comerciales de cibercrimen, como TrickBot Anchor Challenge», dice.

Muchos creen que los ataques con motivación financiera del Grupo Lazarus están diseñados para generar dinero para el programa nuclear del gobierno de Corea del Norte afectado por las sanciones.

«Tradicionalmente, ver a un grupo patrocinado por el estado llevar a cabo una campaña de robo de tarjetas puede parecer curioso, especialmente si se trata de una nación más rica», dice Hank Schless, gerente senior de soluciones de seguridad en Lookout. «Sin embargo, Corea del Norte está muy sancionada y tiene problemas económicos, por lo que claramente usará cualquier táctica que pueda para tener acceso a los fondos».

Brandon Hoffman, CISO, y jefe de estrategia de seguridad en Netenrich, dice que el avance del Grupo Lazarus en el ámbito del delito cibernético no es una sorpresa dada sus actividades pasadas.

«Desde su perspectiva, si tienen las herramientas y habilidades para realizar una actividad de amenaza persistente avanzada, ¿por qué no la usarían también para llenar los cofres?» él dice.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia unique