Lazarus apunta a las empresas de defensa con el malware ThreatNeedle - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Lazarus apunta a las empresas de defensa con el malware ThreatNeedle

Hola y mil gracias por leerme. Soy Eduardo Arroyo y esta vez te voy a contar sobre Lazarus apunta a las empresas de defensa con el malware ThreatNeedle

Lazarus apunta a las empresas de defensa con el malware ThreatNeedle

Una campaña de spear phishing vinculada a una APT de Corea del Norte utiliza el malware «NukeSped» en ataques de ciberespionaje contra empresas de defensa.

La prolífica APT norcoreana conocida como Lazarus está detrás de una campaña de spear phishing destinada a robar datos críticos de empresas de defensa que utilizan un malware avanzado llamado ThreatNeedle. nueva investigación revelado.

Según Kaspersky, que observó la actividad por primera vez a mediados de 2020, la campaña de ciberespionaje elaborada y en curso utilizó correos electrónicos con el tema COVID-19 junto con información personal disponible públicamente de los objetivos para atraerlos a morder el anzuelo del malware.

Los investigadores de Kaspersky, Vyacheslav Kopeytsev y Seongsu Park, en un entrada en el blog publicado el jueves dijo que había identificado organizaciones en más de una docena de países que se vieron afectados por los ataques. Dijeron que los oponentes lograron robar datos y transmitirlos a servidores remotos bajo el control de Lazazrus, dijeron.

Los investigadores dijeron que habían estado monitoreando ThreatNeedle, un grupo de malware avanzado de Manuscrypt (también conocido como NukeSped), durante aproximadamente dos años y lo vincularon exclusivamente a Lazarus APT.

«Llamamos a Lazarus el grupo más activo de 2020», con el «infame APT dirigido a varias industrias» según su objetivo, según Kaspersky.

Si bien el grupo anteriormente parecía centrarse principalmente en los esfuerzos para asegurar la financiación del régimen de Kim Jong-un, parece que su enfoque ahora se ha desplazado al ciberespionaje, anotaron los investigadores. Esto no solo se evidencia en la campaña contra empresas de defensa, sino también en otros ataques recientes, como los incidentes revelados en diciembre destinados a robar información sobre la vacuna COVID-19 y el mencionado ataque a investigadores de seguridad.

Los investigadores observaron un ciclo de vida completo de la última campaña, que creen que les ayudó a recopilar información sobre el alcance del trabajo de Lazarus y conectar los puntos entre las campañas. Comienza con correos electrónicos que despiertan el interés de las víctimas con la mención de COVID-19 y se embellecen con información personal para que parezca más legítima, dijeron los investigadores.

Lazarus hizo su debida diligencia antes de elegir sus objetivos, pero también falló en sus esfuerzos iniciales de spear phishing, según Kaspersky. Antes de lanzar el ataque, el grupo estudió la información disponible públicamente sobre la organización objetivo e identificó las direcciones de correo electrónico que pertenecen a los distintos departamentos de la empresa.

Luego crearon correos electrónicos de phishing que afirmaban tener actualizaciones de COVID-19 que tenían un documento de Word malicioso adjunto o un enlace a uno alojado en un servidor remoto en varias direcciones de correo electrónico en esos departamentos, dijeron los investigadores.

«Los correos electrónicos de phishing fueron cuidadosamente creados y escritos en nombre de un centro médico que es parte de la organización bajo ataque», escribieron Kopeytsev y Park.

Para asegurarse de que los correos electrónicos parezcan auténticos, los atacantes registraron cuentas con un servicio de correo electrónico público para asegurarse de que las direcciones de correo electrónico del remitente fueran similares a la dirección de correo electrónico real del centro médico y utilizaron los datos personales del subdirector médico del centro médico de la organización. adjunto en la firma del correo electrónico.

Sin embargo, hubo algunos pasos en falso en el camino en el ataque que observaron los investigadores. La carga útil del ataque se ocultó en una macro en un documento de Microsoft Word adjunto al documento. Sin embargo, el documento contenía información sobre el programa de evaluación de la salud de la población en lugar de información sobre COVID-19, lo que indica que los actores de amenazas pueden no haber entendido completamente la importancia del contenido del correo electrónico que explotaron en el ataque, dijeron los investigadores.

Los intentos iniciales de spear phishing tampoco tuvieron éxito porque las macros se deshabilitaron en la instalación de Microsoft Office de los sistemas de destino. Para persuadir al objetivo de que permita la macro maliciosa, el atacante envió otro correo electrónico que muestra cómo habilitar macros en Microsoft Office. Pero incluso ese correo electrónico no era compatible con la versión de Office de la víctima, por lo que los atacantes tuvieron que enviar otro para explicar, anotaron los investigadores.

Los atacantes finalmente tuvieron éxito con su ataque el 3 de junio, cuando los empleados abrieron uno de los documentos maliciosos, lo que permitió a los atacantes obtener el control remoto del sistema infectado, dijeron los investigadores.

Una vez implementado, ThreatNeedle incluye una distribución de tres pasos que consta de un instalador, un cargador y una puerta trasera que puede manipular archivos y directorios, perfilar el sistema, controlar los procesos de la puerta trasera y ejecutar comandos recibidos, entre otras características.

Una vez que los atacantes han ingresado a un sistema, proceden a recopilar credenciales utilizando una herramienta con nombre. Respondedor y luego moverse hacia los lados, buscando «recursos cruciales en el entorno de la víctima», según los investigadores.

También encontraron una manera de superar la segmentación de la red obteniendo acceso a una máquina de enrutador interno y configurándola como un servidor proxy, permitiéndoles exfiltrar los datos robados de la intranet usando una herramienta personalizada y luego enviarlos a su servidor remoto.

Durante su investigación, los investigadores descubrieron vínculos críticos con otros ataques previamente descubiertos, uno llamado Trabajo soñado y otra llamada Operación AppleJesus, ambas sospechosas de ser obra de la APT norcoreana, dijeron.

«Esta investigación nos permitió crear fuertes vínculos entre las múltiples campañas que Lazarus realizó, fortaleciendo nuestra atribución» e identificar las diversas estrategias e infraestructuras compartidas de los diversos ataques del grupo, según Kaspersky.

.

Deberías compartir en tus redes sociales para que tus amigos lo vean

??? ? ? ???

Comparte