El grupo Lazarus de Corea del Norte se expande a robar …



Varios gigabytes de datos confidenciales robados de una red restringida, con organizaciones en más de 12 países afectadas, dice Kaspersky.

El Grupo Lazarus, el actor de amenazas persistentes avanzadas (APT) de Corea del Norte, parece haber ampliado su misión principal de robar dinero para el régimen hambriento de efectivo a través de ataques cibernéticos para robar secretos de defensa.

Los investigadores de Kaspersky dicen que el año pasado el grupo pudo transferir con éxito varios gigabytes de información confidencial desde una red restringida que pertenece a una organización en el sector de defensa. Kaspersky descubrió la infracción cuando fue llamado para ayudar con la respuesta a incidentes luego de un incidente de seguridad en la organización.

Un aspecto especialmente preocupante del ataque fue la forma en que los operadores de Lazarus superaron la segmentación de la purple en la organización para acceder a un segmento completamente aislado de su red y exfiltrar datos.

«No sabemos qué información específica fue robada ya que la evidencia relacionada con esto no nos fue transferida», dice Vyacheslav Kopeytsev, investigador de seguridad senior de Kaspersky. «Con foundation en el perfil de la organización, se puede suponer que los atacantes estaban interesados ​​en datos sobre la producción de armas o equipos militares».

El Grupo Lazarus es posiblemente uno de los grupos APT más activos y notorios en funcionamiento. Los investigadores han vinculado al grupo a numerosos ataques de alto perfil y altamente destructivos, incluido el de Sony en 2014, el brote de ransomware WannaCry en 2017, el robo de más de $ 80 millones del Bangladesh Bank en 2017 y ataques a varias operaciones de criptomonedas. Aunque el grupo se ha asociado con varias campañas de ciberespionaje y hacktivistas, los investigadores de seguridad creen que una de sus principales misiones es utilizar ciberataques para robar dinero para los programas nucleares y de misiles balísticos de Corea del Norte.

Según Kaspersky, a partir de principios de 2020, el grupo parece haber ampliado su misión para recopilar secretos de defensa. Su arma principal en la campaña es una puerta trasera llamada «ThreatNeedle», que el grupo united states of america para moverse lateralmente en redes comprometidas. Hasta ahora, las organizaciones del sector de defensa en más de una docena de países se han visto afectadas.

Kopeytsev dice que Kaspersky no puede decir con certeza si las organizaciones estadounidenses se han visto involucradas en la campaña. El análisis de Kaspersky de las conexiones a un servidor de comando y regulate de malware utilizado en la operación muestra conexiones desde Estados Unidos. Si bien esas conexiones podrían ser de organizaciones de víctimas, también podrían ser de otros investigadores de seguridad que están investigando la misma campaña, dice.

Como la mayoría de las campañas de amenazas modernas, los ataques del Grupo Lazarus en el sector de la defensa han involucrado el uso de correos electrónicos de spear-phishing con una buena temática y un guión adecuado. En el ataque que investigó Kaspersky, los correos electrónicos se enviaron a personas de varios departamentos de la organización. Los correos electrónicos de aspecto muy realista pretendían contener actualizaciones de COVID-19 del médico jefe adjunto de un centro médico que forma parte de la organización. Los correos electrónicos contenían un documento de Word con una macro que, cuando se habilitaba, descargaba y ejecutaba otro malware que conducía a la instalación de ThreatNeedle, dice Kaspersky.

COVID-19 fue solo uno de varios señuelos de phishing que el grupo usó en su intento por ganar un punto de apoyo inicial en la purple objetivo. Otros señuelos, incluidos documentos que parecen ser de los principales contratistas de defensa.

A principios de junio de 2020, un empleado de la organización objetivo abrió uno de los archivos adjuntos maliciosos, lo que permitió a los miembros del Grupo Lazarus obtener el control remoto del host infectado e instalar ThreatNeedle en él. Kaspersky describió la puerta trasera como parte de una familia de malware más amplia llamada Manuscrypt que el Grupo Lazarus ha utilizado en numerosos ataques contra operadores de criptomonedas y contra un proveedor de juegos móviles. El grupo utiliza el malware para realizar un reconocimiento inicial en una red infectada y para recopilar credenciales y moverse lateralmente instalando malware adicional en ella.

Cerrar la brecha de aire
La investigación de Kaspersky muestra que los atacantes utilizaron su acceso a la purple corporativa para obtener acceso a un segmento completamente restringido que no tenía acceso directo a Web. Para hacer eso, el adversario usó credenciales robadas para ingresar a las estaciones de trabajo del administrador con acceso a ambos entornos. También obtuvieron credenciales para un enrutador virtual que los administradores usaban para conectarse a los sistemas en ambos entornos. Los atacantes configuraron el enrutador para alojar e implementar malware adicional en la crimson OT y abusaron de una interfaz world wide web para extraer datos de la pink restringida.

Kopeytsev dice que la campaña representa una amenaza para las organizaciones del sector de defensa de Estados Unidos.

«En mi opinión, el riesgo es alto. Los ataques se preparan cuidadosamente y tienen como objetivo robar datos confidenciales de los contratistas de defensa», dice. «En el caso de un ataque exitoso, esto puede tener grandes consecuencias».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original