El grupo norcoreano APT Lazarus (APT38) está explotando los servidores VMWare Horizon para acceder a las redes corporativas de proveedores de energía en los Estados Unidos, Canadá y Japón.
Contexto, Lazarus el nombre de un grupo de actor de amenazas respaldado por el régimen de Corea del Norte, y son conocidos por realizar campañas de espionaje, robo de datos y robo de criptomonedas en la última década. Los actores de la amenaza son responsables de cientos de ataques sofisticados a nivel internacional. Y en Chile no nos quedamos afuera, ya que en el 2018, el Banco de Chile fue víctima de un ataque patrocinado por el estado Norcoreano, desplegando un Ransomware como cortina de humo, mientras que por la red SWIFT, se estaban moviendo $10 millones de dólares a cuentas en Hong Kong.
Según los investigadores de Cisco Talos, descubrieron que en su última operación, Lazarus se dirigió a las organizaciones de energía entre febrero y julio de 2022, aprovechando los exploits públicos de VMWare Horizon para obtener el acceso inicial de las maquinas afectadas.
A partir de ahí, utilizaron diversas familias de malware personalizadas como «VSingle» y «YamaBot» y un troyano de acceso remoto (RAT) previamente desconocido llamado «MagicRAT«, que se utiliza para buscar y robar datos de dispositivos infectados.
Los cazadores de amenazas de la empresa de ciberseguridad, Symantec, analizaron la misma campaña en abril, y los investigadores de ASEC en mayo. Sin embargo, el informe de Cisco profundiza más en el hecho, revelando muchos más detalles sobre la actividad del actor de amenazas.
La investigación de Cisco Talos presenta varias estrategias de ataque que ilustran las últimas técnicas, tácticas y procedimientos (TTP) de Lazarus y destacan la versatilidad del sofisticado grupo.
En el primer caso, los actores de amenazas explotan los servidores VMWare vulnerables a las vulnerabilidades de Log4Shell para ejecutar shellcode, que establece una shell inversa para ejecutar comandos arbitrarios en el punto final del equipo comprometido.

Dado que VMWare Horizon se ejecuta en entornos con altos privilegios, Lazarus puede desactivar Windows Defender mediante modificaciones de la clave del Registro, WMIC y comandos de PowerShell, antes de implementar VSingle.
La puerta trasera de VSingle, admite comandos avanzados de reconocimiento de red, y prepara el terreno para robo de credenciales, crear nuevos usuarios administradores en el host y, finalmente, establecer una conexión vía shell inversa con el C2 para obtener complementos que enriquezcan su funcionalidad.

En el segundo caso presentado en el informe, que se refiere a una víctima diferente, el acceso inicial y el reconocimiento siguen patrones similares, pero esta vez, el grupo dejaron caer «MagicRAT», junto con VSingle.
Dato curioso, MagicRAT puede establecer la persistencia por sí solo mediante la ejecución de comandos codificados que crean las tareas programadas requeridas, ayuda en el reconocimiento del sistema y obtienen malware adicional mediante la comunicación con un C2, como TigerRAT.
Japón en la mira
El CERT japonés vinculó YamaBot con Lazarus en julio de 2022, destacando sus capacidades de comunicación con los servidores C2, mediante las conexiones cifradas.
La diversificación de la cadena de ataque de Lazarus no se limita a los payloads finales de un malware, sino que se extiende a las herramientas de túnel de tipo proxy inverso y las técnicas de recolección de credenciales.
En algunos casos, el grupo APT emplearon las herramientas Mimikatz y Procdump, mientras que en otros, exfiltraron copias de colmenas de registro que contenían credenciales de AD (Active Directory).
«En un caso, los atacantes intentaron obtener información del Active Directory a través de cmdlets de PowerShell. Sin embargo, un día después, los atacantes utilizaron adfind.exe para extraer información similar en el mismo punto final«, explica Cisco Talos en el informe.
Como se destaca en el informe, Lazarus es monitoreado de cerca por diferentes empresas de ciberseguridad y grupos estatales de defensa, por lo que no pueden permitirse el lujo de volverse perezosos en la diversificación de sus cadenas de ataque.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.