Una operación dentro del notorio Grupo Lazarus de Corea del Norte que inicialmente se centró únicamente en ataques de minería de monedas ha comenzado a apuntar a organizaciones del sector de defensa en todo el mundo.
El cambio de enfoque del grupo DeathNote comenzó en 2020 con ataques a organizaciones automotrices y académicas en Europa del Este vinculadas a la industria de defensa. Los investigadores de Kaspersky que han estado rastreando las actividades de DeathNote encontraron que el subgrupo Lazarus siguió ese ataque con campañas posteriores en empresas de defensa y relacionadas con la defensa en Europa, América Latina, África y Corea del Sur.
Una campaña RAT en curso
Kaspersky observó Death Note participó en dos campañas contra empresas de defensa solo en 2022. Uno de ellos aún está en curso e involucra a una organización del sector de defensa en África. El proveedor de seguridad descubrió la campaña en julio pasado y descubrió que DeathNote inicialmente violó a la empresa a través de un lector de PDF de código abierto troyano enviado a través de Skype messenger. Una vez ejecutado, el lector de PDF creó un archivo legítimo y un archivo malicioso en el mismo directorio de la máquina infectada.
Luego usó una técnica conocida como carga lateral de DLL para instalar malware para robar información del sistema y descargó un sofisticado troyano de acceso remoto (RAT) de segunda etapa llamado Copperhedge desde un servidor de comando y control (C2) controlado por un atacante. Copperhedge es un malware que los clústeres de Lazarus Group han utilizado en otros ataques, incluido uno contra un Empresa de TI de Corea del Sur en el 2021.
El análisis de Kaspersky del ataque mostró que el malware utiliza numerosos comandos y herramientas legítimos de Windows, como Mimikatz, para todo, desde el reconocimiento inicial en un sistema host comprometido y la adquisición de credenciales de inicio de sesión, hasta el movimiento lateral y la exfiltración. Para adquirir información básica del sistema, por ejemplo, el malware usaba comandos de Windows para encontrar información del sistema y TCP, o para consultar la lista de servidores guardados del registro.
Para moverse lateralmente, el actor usó una técnica llamada ServiceMove que aprovecha el Servicio de simulación de percepción de Windows para cargar archivos DLL arbitrarios, dijo Kaspersky. “Cuando el grupo completó su misión y comenzó a exfiltrar datos, utilizaron principalmente la utilidad WinRAR para comprimir archivos y transmitirlos a través de los canales de comunicación C2”.
Las tácticas, técnicas y procedimientos (TTP) que empleó DeathNote en su campaña contra el contratista de defensa en África fueron similares a las que Kaspersky observó en otra campaña de 2022 que afectó a una empresa de defensa en América Latina.
Una gama cada vez más amplia de objetivos cibernéticos
El investigador de seguridad de Kaspersky, Seongsu Park, dice que la evolución de DeathNote de los ataques de minería de criptomonedas al espionaje del sector de defensa es consistente con los esfuerzos del Grupo Lazarus para ampliar su lista de objetivos a lo largo de los años.
“Aunque principalmente atacó al sector de defensa en el pasado, como publicamos recientemente, también se han dirigido a los think tanks y al sector médico”, explica. “Esto demuestra la amplia gama de objetivos del grupo”.
Lazarus Group, que muchos creen que es una amenaza persistente avanzada (APT) afiliada al gobierno de Corea del Norte, llamó la atención por primera vez con un ataque en 2014 contra Sony Pictures por una película satírica sobre el líder norcoreano Kim Jong-un. A lo largo de los años, los investigadores han relacionado al grupo con muchos otros ataques de alto perfil, incluido el Brote de ransomware WannaCry, ataques que extrajeron decenas de millones de dólares de bancos en bangladeshy ataques a importantes empresas de criptomonedas.
El grupo DeathNote es solo uno de al menos siete grupos de malware Lazarus separados que están actualmente activos. Los otros, según Kaspersky, son ThreatNeedle, Bookcode, AppleJeus, Mata, CookieTime y Manuscrypt. El grupo Lazarus opera varios clústeres simultáneamente y cada uno de estos clústeres opera de manera sofisticada, utilizando su propio conjunto de herramientas de malware con funciones que a veces se superponen, dice Park.
“Cada uno de sus grupos cambia de objetivos de vez en cuando”, señala Park. "Hemos observado que otros clústeres, por ejemplo, CookieTime y Bookcode, pertenecientes al grupo Lazarus, también se han dirigido antes a la industria de la defensa".
Los TTP típicos de DeathNote han incluido el uso de correos electrónicos de phishing con aplicaciones de lectura de Word o PDF armadas. Durante los días en que el grupo se centró en la minería de monedas, utilizó señuelos con temas de criptomonedas para intentar que las víctimas ejecutaran el vector de infección inicial. Desde que cambió a objetivos de defensa, el clúster ha estado utilizando señuelos con temas de defensa, incluidos aquellos que pretenden ser anuncios de trabajo, como señuelos de phishing. Kaspersky dijo que descubrió que DeathNote solo dejaba caer la carga útil de la segunda etapa en los sistemas pertenecientes a las víctimas que consideraba valiosos desde el punto de vista del ciberespionaje.
Por el momento, al menos, las campañas de DeathNote dirigidas al sector de la defensa no han afectado a las organizaciones estadounidenses.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/lazarus-group-deathnote-cluster-pivots-defense-sector
