Blog

El Grupo APT Lazarus estaría llevando ataques contra los proveedores de energía de EE.UU, Japón y Canadá

El grupo norcoreano APT Lazarus (APT38) está explotando los servidores VMWare Horizon para acceder a las redes corporativas de proveedores de energía en los Estados Unidos, Canadá y Japón.

Contexto, Lazarus el nombre de un grupo de actor de amenazas respaldado por el régimen de Corea del Norte, y son conocidos por realizar campañas de espionaje, robo de datos y robo de criptomonedas en la última década. Los actores de la amenaza son responsables de cientos de ataques sofisticados a nivel internacional. Y en Chile no nos quedamos afuera, ya que en el 2018, el Banco de Chile fue víctima de un ataque patrocinado por el estado Norcoreano, desplegando un Ransomware como cortina de humo, mientras que por la red SWIFT, se estaban moviendo $10 millones de dólares a cuentas en Hong Kong.

Según los investigadores de Cisco Talos, descubrieron que en su última operación, Lazarus se dirigió a las organizaciones de energía entre febrero y julio de 2022, aprovechando los exploits públicos de VMWare Horizon para obtener el acceso inicial de las maquinas afectadas.

A partir de ahí, utilizaron diversas familias de malware personalizadas como «VSingle» y «YamaBot» y un troyano de acceso remoto (RAT) previamente desconocido llamado «MagicRAT«, que se utiliza para buscar y robar datos de dispositivos infectados.

Los cazadores de amenazas de la empresa de ciberseguridad, Symantec, analizaron la misma campaña en abril, y los investigadores de ASEC en mayo. Sin embargo, el informe de Cisco profundiza más en el hecho, revelando muchos más detalles sobre la actividad del actor de amenazas.

La investigación de Cisco Talos presenta varias estrategias de ataque que ilustran las últimas técnicas, tácticas y procedimientos (TTP) de Lazarus y destacan la versatilidad del sofisticado grupo de hackers.

En el primer caso, los actores de amenazas explotan los servidores VMWare vulnerables a las vulnerabilidades de Log4Shell para ejecutar shellcode, que establece una shell inversa para ejecutar comandos arbitrarios en el punto final del equipo comprometido.

Imagen: Talos Intelligence

Dado que VMWare Horizon se ejecuta en entornos con altos privilegios, Lazarus puede desactivar Windows Defender mediante modificaciones de la clave del Registro, WMIC y comandos de PowerShell, antes de implementar VSingle.

La puerta trasera de VSingle, admite comandos avanzados de reconocimiento de red, y prepara el terreno para robo de credenciales, crear nuevos usuarios administradores en el host y, finalmente, establecer una conexión vía shell inversa con el C2 para obtener complementos que enriquezcan su funcionalidad.

Imagen: Talos Intelligence

En el segundo caso presentado en el informe, que se refiere a una víctima diferente, el acceso inicial y el reconocimiento siguen patrones similares, pero esta vez, el grupo dejaron caer «MagicRAT», junto con VSingle.

Dato curioso, MagicRAT puede establecer la persistencia por sí solo mediante la ejecución de comandos codificados que crean las tareas programadas requeridas, ayuda en el reconocimiento del sistema y obtienen malware adicional mediante la comunicación con un C2, como TigerRAT.

Japón en la mira

El CERT japonés vinculó YamaBot con Lazarus en julio de 2022, destacando sus capacidades de comunicación con los servidores C2, mediante las conexiones cifradas.

La diversificación de la cadena de ataque de Lazarus no se limita a los payloads finales de un malware, sino que se extiende a las herramientas de túnel de tipo proxy inverso y las técnicas de recolección de credenciales.

En algunos casos, el grupo APT emplearon las herramientas Mimikatz y Procdump, mientras que en otros, exfiltraron copias de colmenas de registro que contenían credenciales de AD (Active Directory).

«En un caso, los atacantes intentaron obtener información del Active Directory a través de cmdlets de PowerShell. Sin embargo, un día después, los atacantes utilizaron adfind.exe para extraer información similar en el mismo punto final«, explica Cisco Talos en el informe.

Como se destaca en el informe, Lazarus es monitoreado de cerca por diferentes empresas de ciberseguridad y grupos estatales de defensa, por lo que no pueden permitirse el lujo de volverse perezosos en la diversificación de sus cadenas de ataque.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required