Blog

Lazarus Group utilizó Windows Update y los servicios de GitHub para realizar una nueva campaña de espionaje

El jueves 27 de enero de 2022, el equipo de Inteligencia de Amenazas de Malwarebytes informó mediante una publicación en su blog de una nueva campaña de phishing que estaría siendo llevada a cabo por el grupo APT Lazarus, (un actor de amenaza patrocinado por el estado norcoreano) a diferentes ingenieros, ofreciéndoles una oportunidad de trabajo en la empresa de tecnología estadounidense Lockheed Martin.

Se estima que las motivaciones de esta campaña es la clásica intención de Lazarus en infiltrarse en el ejército estadounidense y realizar actividades de inteligencia, robo de información y posiblemente realizar un sabotaje informático, una vez terminada la operación.

En la investigación, el equipo encontró dos documentos en formato Word, que supuestamente tenia más información sobre la oferta de trabajo. Dichos documentos se encontraban «bloqueados» por temas de seguridad y para poder visualizar el contenido, el usuario debería activar la opción de «habilitar edición». El cual mediante una función macro, desencadenaría una ola de procesos para comprometer el equipo. El nombre de los documentos señalados en la publicación son los siguientes:

  • Lockheed_Martin_OportunidadesDeTrabajo.docx
  • Salary_Lockheed_Martin_job_opportunities_confidential.doc

Ambos documentos tenían una fecha de compilación del 4 de abril de 2020, pero Malwarebytes dijo que la campaña se utilizó realmente a finales del mes de diciembre y mediados de Enero de 2022.

El ataque comienza con la ejecución de macros maliciosas incrustadas en los documentos de Word, describieron los investigadores. Tras una serie de inyecciones de código, el malware logra mantener la persistencia en el arranque del sistema de la víctima.

El uso de GitHub como Command and Control tiene sus propios inconvenientes, pero es una buena elección para los ataques dirigidos y a corto plazo, ya que hace más difícil para los productos de seguridad diferenciar entre conexiones legítimas y maliciosas. Según los investigadores, es primera vez que Lazarus utiliza GitHub como un servidor C2.

Después de que el objetivo abra los archivos adjuntos maliciosos y permita la ejecución de las macros, una macro incrustada deja caer un archivo «WindowsUpdateConf.lnk» en la carpeta de inicio y un archivo DLL (wuaueng.dll) en una carpeta oculta de Windows/System32. Los archivos LNK son accesos directos de Windows.

A continuación, el archivo .LNK se utiliza para lanzar el cliente WSUS/Windows Update llamado «wuauclt.exe», un archivo de proceso legítimo conocido popularmente como las «actualizaciones automáticas de Windows» que se encuentra en C:\NWindows\NSystem32 por defecto. El cliente de actualización se utiliza para ejecutar una DLL maliciosa que elude la detección de seguridad de los sistemas tradicionales.

Los autores de malware suelen crear archivos con scripts y los nombran como «wuauclt.exe». De hecho, en octubre de 2020, wuauclt.exe se añadió a la lista de binarios «living off the land» (LOLBins). Ejecutables firmados por Microsoft que los atacantes utilizan para labores de ejecución de código malicioso en los sistemas Windows mientras evaden la detección.

«Se trata de una interesante técnica utilizada por Lazarus para ejecutar su DLL maliciosa utilizando el cliente de Windows Update para eludir los mecanismos de detección de seguridad«, señaló el equipo de inteligencia de amenazas. «Con este método, el actor de la amenaza puede ejecutar su código malicioso a través del cliente de Microsoft Windows Update pasando los siguientes argumentos: /UpdateDeploymentProvider, Ruta de acceso a la DLL maliciosa y el argumento /RunHandlerComServer después de la DLL«.

La cuenta falsa de GitHub utilizada como C2 por Lazarus Group, fue denunciada por el equipo de Malwarebytes por «contenido dañino», según su escrito.

Más información

https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required