Lazarus pone sus ojos en la industria de la defensa con el malware ThreatNeedle

Recomendados:  Demostración de un ataque dirigido a entornos OT Webinar Ciberseguridad industrial, protegiendo las redes IT y OT Leer  Ciberseguridad orientada al futuro Leer

Los investigadores de Kaspersky han identificado una nueva campaña, hasta ahora desconocida, del grupo de amenazas Lazarus, que habría estado apuntando a la industria de defensa con un malware llamado ThreatNeedle.

Lazarus es uno de los actores de amenazas más prolíficos de la actualidad. Activo desde al menos 2009, Lazarus ha estado involucrado en campañas de ciberespionaje a gran escala, campañas ransomware, e incluso ataques contra el mercado de criptomonedas. Mientras que los últimos años se han centrado en las instituciones financieras, desde principios de 2020 parece que han añadido la industria de defensa a su "cartera".

Los investigadores de Kaspersky se dieron cuenta de esta campaña cuando fueron llamados para ayudar con la respuesta al incidente, y descubrieron que la organización había sido víctima de un backdoor personalizado, un tipo de malware que permite un control remoto completo sobre el dispositivo. Llamado ThreatNeedle, el backdoor se mueve lateralmente a través de redes infectadas y extrae información confidencial. Hasta ahora, organizaciones de más de una docena de países se han visto afectadas.

La infección inicial ocurre a través de spear phishing. Los destinatarios reciben correos electrónicos que contienen un archivo adjunto malintencionado de Word o un vínculo a uno hospedado en servidores de la empresa. A menudo, los correos afirmaban tener actualizaciones urgentes relacionadas con la pandemia y provenían, supuestamente, de un respetado centro médico.

El malware ThreatNeedle utilizado en esta campaña pertenece a una familia de malware conocido como Manuscrypt, que pertenece al grupo Lazarus y se ha visto previamente atacando negocios de criptomonedas. Una vez instalado, ThreatNeedle es capaz de obtener el control total del dispositivo de la víctima, lo que significa que puede hacer de todo, desde manipular archivos hasta ejecutar comandos.

"Lazarus fue quizás el actor de amenazas más activo de 2020, y no parece que esto cambie pronto. De hecho, ya en enero de este año, el Equipo de Análisis de Amenazas de Google informó que Lazarus había sido visto usando este mismo backdoor para dirigirse a los investigadores de seguridad. Esperamos ver más de ThreatNeedle en el futuro, y estaremos atentos", comenta Seongsu Park, investigador senior de seguridad del Equipo Global de Investigación y Análisis (GReAT).