 |
|
|
Durante la conferencia ESET World 2022, un grupo de especialistas de ESET presentó una nueva investigación sobre el infame grupo “Lazarus APT”. El Director de ESET Threat Research, Jean-Ian Boutin, repasó las nuevas campañas perpetradas por el grupo Lazarus contra contratistas de defensa en todo el mundo, entre finales de 2021 y marzo de 2022.
En los ataques relevantes de 2021-2022, Lazarus apuntó a empresas en Europa (Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania) y América Latina (Brasil).
A pesar de que el objetivo principal de la operación de Lazarus es el ciberespionaje, el grupo también intentó extraer dinero, sin obtener éxito.
Según Jean-Ian Boutin: “El grupo de amenazas Lazarus mostró su ingenio al implementar un interesante conjunto de herramientas, que incluye, por ejemplo, un componente de modo de usuario capaz de explotar un controlador vulnerable de Dell para escribir en la memoria del kernel. Este truco avanzado se usó en un intento de eludir el monitoreo de las soluciones de seguridad”.
Durante el 2020, especialistas de ESET habían documentado una campaña llevada a cabo por un subgrupo de Lazarus contra contratistas aeroespaciales y de defensa europeos. Esta operación maliciosa fue llamada In(ter)ception.
Dicha campaña de Lazarus fue notable, ya que utilizó las redes sociales, especialmente LinkedIn, para generar confianza entre el atacante y un empleado desprevenido antes de enviarles componentes maliciosos disfrazados de descripciones de trabajo o aplicaciones. En ese momento, ya habían sido atacadas empresas de Brasil, República Checa, Qatar, Turquía y Ucrania.
El equipo de investigación de ESET creía que la acción estaba dirigida principalmente a atacar a empresas europeas, pero al rastrear varios subgrupos de Lazarus que realizaban campañas similares, pronto se dieron cuenta de que la campaña se extendía mucho más allá.
Si bien los tipos de malware utilizados en las distintas campañas fueron diferentes, el modus operandi inicial siempre fue el mismo: un reclutador falso contactó a un empleado a través de LinkedIn y finalmente envió componentes maliciosos.
En este sentido, el grupo continuó con la misma metodología que en el pasado. Sin embargo, desde ESET documentaron la reutilización de elementos legítimos de campañas de contratación para agregar legitimidad a las campañas de sus reclutadores falsos. Además, los atacantes utilizaron servicios como WhatsApp o Slack en sus campañas maliciosas.
En 2021, el Departamento de Justicia de Estados Unidos acusó a tres programadores de TI de ciberataques, mientras trabajaban para el ejército de Corea del Norte.
Según el gobierno estadounidense, los programadores pertenecían a la unidad militar de piratas informáticos de Corea del Norte, conocida en la comunidad de seguridad de la información como “Grupo Lazarus”.
|
