Lazarus vuelve a la carga en el tercer trimestre con fines de ciberespionaje según Kaspersky

Lazarus es uno de los actores de amenazas más prolíficos del mundo y está activo desde al menos 2009. Este grupo APT ha estado detrás de campañas de ciberespionaje y ransomware a gran escala, con ataques en el sector de la defensa y en el mercado de criptomonedas. Ahora, todo apunta a que está aprovechando la gran variedad de herramientas avanzadas de las que dispone y aplicándolas a nuevos objetivos.

En junio de 2021, los investigadores de Kaspersky observaron al grupo Lazarus atacando el sector de la defensa utilizando el marco de malware MATA, que puede dirigirse a tres sistemas operativos: Windows, Linux y macOS. Históricamente, Lazarus ha utilizado MATA para atacar a varias industrias con fines tales como el robo de bases de datos de clientes y la propagación de ransomware.

Sin embargo, esta vez nuestros investigadores rastrearon a Lazarus utilizando MATA con fines de ciberespionaje. El actor entregó una versión troyanizada de una aplicación utilizada por la víctima – una técnica habitual de Lazarus. Cabe destacar que no es la primera vez que el grupo Lazarus ataca a la industria de la defensa: su anterior campaña, ThreatNeedle, se llevó a cabo de forma similar a mediados de 2020.

Curso Superior Universitario Auditoria Seguridad Informatica - Lazarus vuelve a la carga en el tercer trimestre con fines de ciberespionaje según Kaspersky

Lazarus también ha sido descubierto construyendo funcionalidades de ataque a la cadena de suministro con un grupo actualizado de DeathNote, una variante ligeramente actualizada de BLINDINGCAN, un malware previamente reportado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA).

Los investigadores de Kaspersky descubrieron campañas dirigidas a un think-tank surcoreano y a un proveedor de soluciones de monitorización de activos TI. En el primer caso descubierto por los investigadores de Kaspersky, Lazarus desarrolló una cadena de infección que partía de un software de seguridad surcoreano legítimo que desplegaba una carga útil maliciosa; en el segundo caso, el objetivo era una empresa letona que desarrollaba soluciones de monitorización de activos, un objetivo atípico para Lazarus.

Como parte de la cadena de infección, Lazarus utilizó un descargador llamado “Racket” que firmó utilizando un certificado robado. El actor comprometió los servidores web vulnerables y cargó varios scripts para filtrar y controlar los implantes maliciosos en las máquinas atacadas con éxito.

El informe sobre las tendencias de APT del tercer trimestre resume los resultados de los informes de inteligencia sobre amenazas para suscriptores de Kaspersky, que también incluyen datos de Indicadores de Compromiso (IoC) y reglas YARA para ayudar en el análisis forense y la búsqueda de malware.

security protection anti virus software 60504 1024x683 - Lazarus vuelve a la carga en el tercer trimestre con fines de ciberespionaje según Kaspersky

Cómo protegerse de un ciberataque de Lazarus

Para evitar ser víctima de un ataque dirigido por un actor de amenaza conocido o desconocido, Kaspersky recomienda implementar las siguientes medidas:

  • Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para las TI de la compañía, que proporciona datos de ciberataques y perspectivas recopiladas por Kaspersky durante más de 20 años. El acceso gratuito a sus funciones, que permiten a los usuarios comprobar archivos, URLs y direcciones IP, está disponible aquí
  • Actualice su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación online de Kaspersky desarrollada por los expertos de GReAT
  • Además de adoptar protección básica para endpoints, implemente una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform
  • Dado que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social, introduzca la formación en materia de seguridad y enseñe habilidades prácticas a su equipo con soluciones como Kaspersky Automated Security Awareness Platform

Puedes acceder al informe completo sobre las tendencias de APT del tercer trimestre en Securelist.

Deja un comentario

A %d blogueros les gusta esto: