La campaña de ciberataques Lazarus que sigue explotando software legítimo
- Vulnerabilidades
Mediante sofisticadas técnicas de amenaza persistente avanzada, el malware se integró en un software legítimo, precisamente de seguridad y diseñado para encriptar las comunicaciones web. Pese a que se parchearon las vulnerabilidades, muchas organizaciones siguieron utilizando la versión infectada del software.
Este es un ejemplo de por qué todos los actores de la ciberseguridad siguen incidiendo en la necesidad de llevar a cabo las actualizaciones, no solo de los sistemas operativos sino de todos los elementos de software de los equipos. El Equipo de Investigación y Análisis de Kaspersky (GReAT) detectó a mediados de julio una nueva campaña de ciberataques de Lazarus.
La campaña tuvo como objetivo multitud de organizaciones de todo el mundo que utilizaban un software de seguridad legítimo, no revelado por Kaspersky, especializado en la encriptación de comunicaciones web con certificados digitales. Pese a que se comunicó las vulnerabilidades a la compañía responsable del software y ésta lo parcheó, algunas organizaciones no actualizaron su aplicación y el malware pudo continuar con su actividad.
El ataque fue de alta sofisticación, una amenaza persistente avanzada (APT) que además incorporaba novedosas técnicas de evasión y que partió de la herramienta LPEClient, ya utilizada anteriormente por Lazarus. Cuando en principio el problema estaba resuelto, Kaspersky Endpoint Security identificó la amenaza y paralizó nuevos ataques en empresas que utilizaban la versión sin parchear.
Seongsu Park, investigador principal de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky, avisa de que “el grupo Lazarus es persistente, tiene una motivación inquebrantable y muestra capacidades avanzadas. Opera a escala global, dirigiéndose contra una amplia gama de sectores de distintas formas. Es una amenaza en evolución constante que debe mantenernos siempre alerta “.