El jueves 27 de enero de 2022, el equipo de Inteligencia de Amenazas de Malwarebytes informó mediante una publicación en su blog de una nueva campaña de phishing que estaría siendo llevada a cabo por el grupo APT Lazarus, (un actor de amenaza patrocinado por el estado norcoreano) a diferentes ingenieros, ofreciéndoles una oportunidad de trabajo en la empresa de tecnología estadounidense Lockheed Martin.
Se estima que las motivaciones de esta campaña es la clásica intención de Lazarus en infiltrarse en el ejército estadounidense y realizar actividades de inteligencia, robo de información y posiblemente realizar un sabotaje informático, una vez terminada la operación.
En la investigación, el equipo encontró dos documentos en formato Word, que supuestamente tenia más información sobre la oferta de trabajo. Dichos documentos se encontraban «bloqueados» por temas de seguridad y para poder visualizar el contenido, el usuario debería activar la opción de «habilitar edición». El cual mediante una función macro, desencadenaría una ola de procesos para comprometer el equipo. El nombre de los documentos señalados en la publicación son los siguientes:
- Lockheed_Martin_OportunidadesDeTrabajo.docx
- Salary_Lockheed_Martin_job_opportunities_confidential.doc
Ambos documentos tenían una fecha de compilación del 4 de abril de 2020, pero Malwarebytes dijo que la campaña se utilizó realmente a finales del mes de diciembre y mediados de Enero de 2022.
El ataque comienza con la ejecución de macros maliciosas incrustadas en los documentos de Word, describieron los investigadores. Tras una serie de inyecciones de código, el malware logra mantener la persistencia en el arranque del sistema de la víctima.
El uso de GitHub como Command and Control tiene sus propios inconvenientes, pero es una buena elección para los ataques dirigidos y a corto plazo, ya que hace más difícil para los productos de seguridad diferenciar entre conexiones legítimas y maliciosas. Según los investigadores, es primera vez que Lazarus utiliza GitHub como un servidor C2.
Después de que el objetivo abra los archivos adjuntos maliciosos y permita la ejecución de las macros, una macro incrustada deja caer un archivo «WindowsUpdateConf.lnk» en la carpeta de inicio y un archivo DLL (wuaueng.dll) en una carpeta oculta de Windows/System32. Los archivos LNK son accesos directos de Windows.
A continuación, el archivo .LNK se utiliza para lanzar el cliente WSUS/Windows Update llamado «wuauclt.exe», un archivo de proceso legítimo conocido popularmente como las «actualizaciones automáticas de Windows» que se encuentra en C:\NWindows\NSystem32 por defecto. El cliente de actualización se utiliza para ejecutar una DLL maliciosa que elude la detección de seguridad de los sistemas tradicionales.
Los autores de malware suelen crear archivos con scripts y los nombran como «wuauclt.exe». De hecho, en octubre de 2020, wuauclt.exe se añadió a la lista de binarios «living off the land» (LOLBins). Ejecutables firmados por Microsoft que los atacantes utilizan para labores de ejecución de código malicioso en los sistemas Windows mientras evaden la detección.
«Se trata de una interesante técnica utilizada por Lazarus para ejecutar su DLL maliciosa utilizando el cliente de Windows Update para eludir los mecanismos de detección de seguridad«, señaló el equipo de inteligencia de amenazas. «Con este método, el actor de la amenaza puede ejecutar su código malicioso a través del cliente de Microsoft Windows Update pasando los siguientes argumentos: /UpdateDeploymentProvider, Ruta de acceso a la DLL maliciosa y el argumento /RunHandlerComServer después de la DLL«.
La cuenta falsa de GitHub utilizada como C2 por Lazarus Group, fue denunciada por el equipo de Malwarebytes por «contenido dañino», según su escrito.
Más información
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
