Un prolífico grupo de piratería patrocinado por el estado de Corea del Norte se ha relacionado con una nueva campaña de espionaje en curso destinada a extraer información confidencial de organizaciones de la industria de la defensa.
Al atribuir los ataques con gran confianza al Grupo Lazarus, los nuevos hallazgos de Kaspersky señalan una expansión de las tácticas del actor APT al ir más allá de la gama habitual de delitos motivados financieramente para financiar el régimen con problemas de liquidez.
Esta ampliación de sus intereses estratégicos ocurrió a principios de 2020 al aprovechar una herramienta llamada AmenazaAgujadijeron los investigadores Vyacheslav Kopeytsev y Seongsu Park en un artículo del jueves.
En un alto nivel, la campaña aprovecha un enfoque de varios pasos que comienza con un ataque de phishing selectivo cuidadosamente elaborado que finalmente lleva a los atacantes a obtener el control remoto de los dispositivos.
ThreatNeedle se entrega a los objetivos a través de correos electrónicos relacionados con COVID con archivos adjuntos maliciosos de Microsoft Word como vectores de infección iniciales que, cuando se abren, ejecutan una macro que contiene código malicioso diseñado para descargar y ejecutar cargas útiles adicionales en el sistema infectado.
El malware de próxima etapa funciona incorporando sus capacidades maliciosas dentro de una puerta trasera de Windows que ofrece funciones para el reconocimiento inicial y la implementación de malware para el movimiento lateral y la exfiltración de datos.
«Una vez instalado, ThreatNeedle puede obtener el control total del dispositivo de la víctima, lo que significa que puede hacer de todo, desde manipular archivos hasta ejecutar los comandos recibidos», dijeron los investigadores de seguridad de Kaspersky.
Kaspersky encontró superposiciones entre ThreatNeedle y otra familia de malware llamada Manuscrypt que ha sido utilizada por Lazarus Group en campañas de piratería anteriores contra las industrias de criptomonedas y juegos móviles, además de descubrir conexiones con otros clústeres de Lazarus como AppleJeus, DeathNote y Bookcode.
Curiosamente, Manuscrypt también se implementó en una operación de Lazarus Group el mes pasado, que implicó apuntar a la comunidad de seguridad cibernética con oportunidades para colaborar en la investigación de vulnerabilidades, solo para infectar a las víctimas con malware que podría causar el robo de exploits desarrollados por los investigadores para vulnerabilidades posiblemente no reveladas. utilizándolos así para organizar nuevos ataques contra objetivos vulnerables de su elección.
Quizás lo más preocupante del desarrollo es una técnica adoptada por los atacantes para eludir las protecciones de segmentación de red en una red empresarial sin nombre al «obtener acceso a una máquina enrutadora interna y configurarla como un servidor proxy, lo que les permite extraer datos robados de la intranet». red a su servidor remoto».
La firma de ciberseguridad dijo que organizaciones en más de una docena de países se han visto afectadas hasta la fecha.
Al menos uno de los correos electrónicos de spear-phishing a los que se hace referencia en el informe está escrito en ruso, mientras que otro mensaje vino con un archivo adjunto malicioso llamado «Boeing_AERO_GS.docx», lo que posiblemente implica un objetivo estadounidense.
A principios de este mes, tres piratas informáticos norcoreanos asociados con la división de inteligencia militar de Corea del Norte fueron acusados por el Departamento de Justicia de EE. UU. por presuntamente participar en una conspiración criminal que intentó extorsionar $ 1.3 mil millones en criptomonedas y efectivo de bancos y otras organizaciones alrededor del mundo. mundo
“En los últimos años, el grupo Lazarus se ha centrado en atacar instituciones financieras de todo el mundo”, concluyeron los investigadores. “Sin embargo, a partir de principios de 2020, se centraron en atacar agresivamente a la industria de la defensa”.
«Si bien Lazarus también utilizó anteriormente el malware ThreatNeedle utilizado en este ataque cuando se dirigía a negocios de criptomonedas, actualmente se está utilizando activamente en ataques de ciberespionaje».
