El seguimiento de la campaña DeathNote revela la evolución del grupo Lazarus

  • Actualidad

ciberdelito - priorizacion

Kaspersky ha llevado a cabo una investigación del grupo DeathNote, perteneciente a Lazarus y que se caracteriza por su gran capacidad de transformarse. Comenzó a operar en 2019 con ataques a empresas relacionadas con criptomonedas en todo el mundo. Desde finales de 2022, ha llevado a cabo campañas específicas contra corporaciones de TI y de defensa en Europa, Latinoamérica, Corea del Sur y África.

El informe de Kaspersky alerta de un cambio de los objetivos de DeathNote y de un perfeccionamiento de sus herramientas, técnicas y procedimientos en los últimos cuatro años. Este grupo pertenece a Lazarus, actor de amenazas de alto perfil de habla coreana con múltiples subcampañas. 

Lazarus ha atacado con insistencia a empresas relacionadas con el sector de las criptomonedas. Kaspersky ha detectado que en un caso concreto hicieron uso de un malware modificado. A mediados de octubre de 2019, los analistas de la compañía de ciberseguridad encontraron un documento sospechoso subido a VirusTotal, y el autor del malware utilizada documentos señuelo relacionados con el negocio de las criptomonedas. En ellos se incluía un cuestionario sobre la compra de criptomonedas, una introducción a una moneda virtual en particular y lo mismo para una empresa de minería de bitcoin. Esta fue la primera vez que entró en escena la campaña DeathNote, dirigida a personas y empresas relacionadas con las criptomonedas en Chipre, Estados Unidos, Taiwán y Hong Kong.

En abril de 2020, Kaspersky observó un cambio significativo en los vectores de infección de DeathNote, centrándose en organizaciones dedicadas a la automoción y de corte académico en Europa del Este, todas ellas vinculadas a la industria de la defensa. Modificó documentos señuelo relacionados con las descripciones del trabajo de contratistas de defensa y también con la diplomacia. Además, elaboró su propia cadena infecciosa mediante inyección de código y software de visualización para archivos PDF que escondía un troyano.

En mayo de 2021, los investigadores dela firma ya observaron que una empresa de TI europea dedicada a ofrecer soluciones para dispositivos de red y monitorización de servidores se vio comprometida por DeathNote. Además, a principios de junio de 2021 este subgrupo de Lazarus comenzó a utilizar un nuevo mecanismo para infectar en Corea del Sur. Lo que llamó la atención de los investigadores fue que la etapa inicial del malware fue ejecutada por un software legítimo que se usa de manera recurrente para la seguridad en dicho país.

La campaña en curso se detectó por primera vez en julio de 2022. Lazarus había ciberatacado con éxito un contratista de defensa en África. Todo comenzó con la infección a través de una app de lectura de archivos PDF recibida a través del messenger de Skype. Una vez ejecutado el lector de PDF, se creaba un archivo legítimo denominado ‘CameraSettingsUIHost.exe’ y otro malicioso llamado ‘DUI70.dll’ en el mismo directorio.

“Lazarus es un grupo de ciberdelincuentes sin escrúpulos, pero muy cualificado. Nuestro análisis de DeathNote revela una rápida evolución en sus Tácticas, Técnicas y Procedimientos (TTP) a lo largo de los años. Esta vez no se ha limitado a las criptomonedas, ha ido más allá. Despliega tanto software legítimo como malicioso para comprometer empresas del sector de la defensa. Su constante evolución hace crucial para las organizaciones mantener la vigilancia y las medidas proactivas a fin de defenderse correctamente”, asegura Seongsu Park, analista principal de Seguridad GReAT de Kaspersky.

Para evitar sufrir ciberataques de grupos tanto conocidos como no conocidos, los analistas de Kaspersky ofrecen las siguientes recomendaciones:

-- Realizar auditorías de ciberseguridad y monitorizaciones de red periódicamente para corregir errores y descubrir debilidades o elementos maliciosos.

-- Proporcionar a los profesionales capacitación de higiene en ciberseguridad. Muchos ataques son de tipo phishing o se sirven de técnicas de ingeniería social.

-- Formar a la plantilla para que descarguen software únicamente de fuentes fiables y tiendas oficiales de aplicaciones.

-- Utilizar una solución EDR para detectar y responder a amenazas avanzadas en tiempo real.

-- Usar soluciones contra fraudes protege las transacciones con criptomonedas mediante la detección y prevención del robo de cuentas, las transacciones no verificadas y el lavado de dinero.