Estas son los nuevos objetivos y las técnicas del grupo Lazarus

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento El papel de la ciberinteligencia en la seguridad empresarial Webinar Identificación de ataques web Leer

Lazarus es uno de los actores de amenazas más prolíficos del mundo y está activo desde al menos 2009. Este grupo APT ha estado detrás de campañas de ciberespionaje y ransomware a gran escala, con ataques en el sector de la defensa y en el mercado de criptomonedas. Ahora, todo apunta a que está aprovechando la gran variedad de herramientas avanzadas de las que dispone y aplicándolas a nuevos objetivos.

En junio de 2021, los investigadores de esta firma observaron al grupo Lazarus atacando el sector de la defensa utilizando el marco de malware MATA, que puede dirigirse a tres sistemas operativos: Windows, Linux y macOS. Históricamente, Lazarus ha utilizado MATA para atacar a diversos sectores con fines como el robo de bases de datos de clientes y la propagación de ransomware. Sin embargo, esta vez rastrearon a Lazarus utilizando MATA con fines de ciberespionaje. El actor entregó una versión troyanizada de una aplicación utilizada por la víctima – una técnica habitual de Lazarus. Cabe destacar que no es la primera vez que el grupo Lazarus ataca a la industria de la defensa: su anterior campaña, ThreatNeedle, se llevó a cabo de forma similar a mediados de 2020.

Lazarus también ha sido descubierto construyendo funcionalidades de ataque a la cadena de suministro con un grupo actualizado de DeathNote, una variante ligeramente actualizada de BLINDINGCAN, un malware previamente reportado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA). Según Kaspersky, sus expertos descubrieron campañas dirigidas a un think-tank surcoreano y a un proveedor de soluciones de monitorización de activos TI.

En el primer caso descubierto por los investigadores de Kaspersky, Lazarus desarrolló una cadena de infección que partía de un software de seguridad surcoreano legítimo que desplegaba una carga útil maliciosa; en el segundo, el objetivo era una empresa letona que desarrollaba soluciones de monitorización de activos, un objetivo atípico para Lazarus. Como parte de la cadena de infección, Lazarus utilizó un descargador llamado "Racket" que firmó utilizando un certificado robado. El actor comprometió los servidores web vulnerables y cargó varios scripts para filtrar y controlar los implantes maliciosos en las máquinas atacadas con éxito.

Como explica Ariel Jungheit, investigador de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky, "estos acontecimientos recientes ponen de manifiesto dos cosas: Lazarus sigue interesado en el sector de la defensa y también busca ampliar sus capacidades con ataques a la cadena de suministro”.

No obstante, este grupo APT no es el único que hemos visto utilizando ataques a la cadena de suministro. “En el último trimestre también hemos rastreado ataques de este tipo llevados a cabo por SmudgeX y BountyGlad. Cuando se llevan a cabo con éxito, los ataques a la cadena de suministro pueden resultar devastadores, afectando a mucho más de una organización, algo que vimos claramente con el ataque a SolarWinds el año pasado. Dado que los actores de las amenazas están invirtiendo en este tipo de capacidades, debemos permanecer atentos y centrar los esfuerzos de defensa en ese frente", añade.