Se ha observado que el Grupo Lazarus, un grupo avanzado de amenazas persistentes (APT) atribuido al gobierno de Corea del Norte, lleva a cabo dos campañas ofensivas separadas en la cadena de suministro como un medio para obtener apoyo en las redes corporativas y apuntar a una amplia gama de entidades aguas abajo.
Las operaciones recientes de recopilación de inteligencia han incluido el uso del marco de malware MATA y puertas traseras llamadas BLINDINGCAN y COPPERHEDGE para atacar la industria de defensa, proveedores de soluciones de monitoreo de TI basados en activos de TI y un grupo de expertos con sede en Corea del Sur, según un nuevo Informe de tendencias de APT 3 trimestre de 2021 publicado por Kaspersky.
En un caso, el ataque a la cadena de suministro provino de una cadena infecciosa proveniente de un software de seguridad legítimo de Corea del Sur que ejecutó una carga maliciosa, lo que condujo a la implementación de malware BLINDINGCAN y COPPERHEDGE en una red de expertos en junio de 2021. El segundo ataque a un Compañía letona en mayo es para Lázaro es una «víctima atípica», dijeron los investigadores.
No está claro si Lazarus manipuló el software de TI del proveedor para distribuir implantes o si el grupo abusó del acceso a la red corporativa para interrumpir a otros clientes. Una empresa rusa de ciberseguridad está monitoreando una campaña bajo el clúster DeathNote.
Eso no es todo. En una campaña que parece ser diferente del espionaje cibernético, también se ha visto al adversario usando el marco de malware multiplataforma MATA para realizar una serie de actividades maliciosas en las computadoras infectadas. «El actor proporcionó una versión troyanizada de la aplicación, que se sabe que usa su víctima, que es una característica bien conocida de Lazarus», dijeron los investigadores.
Según hallazgos anteriores de Kaspersky, la campaña MATA puede atacar los sistemas operativos Windows, Linux y macOS, mientras que la infraestructura ofensiva permite al enemigo ejecutar una cadena de infección de varias etapas, que culmina con la carga de complementos adicionales que permiten el acceso a grandes cantidades de información, incluidos los archivos almacenados en los dispositivos, desde la base de datos e insertando archivos DLL.
Se descubrió que Beyond Lazarus, un actor de amenazas APT de habla china sospechoso de HoneyMyte, adoptó la misma táctica cuando se modificó un paquete de instalación de software de escáner de huellas dactilares para instalar puertas traseras PlugX en un servidor de distribución perteneciente a una agencia gubernamental en un país no identificado. en el sur de Asia. Kaspersky llamó al incidente en la cadena de suministro «SmudgeX».
Este desarrollo llega en un momento en que los ataques cibernéticos dirigidos a la cadena de suministro de TI se han convertido en un problema importante como resultado de la intrusión de SolarWinds en 2020, lo que subraya la necesidad de adoptar procedimientos estrictos de seguridad de cuentas y tomar medidas de precaución para proteger el entorno empresarial.
