Se ha descubierto una nueva campaña de malware del grupo de hackers norcoreano Lazarus, activa desde febrero hasta julio de 2022. Esta vez, los piratas informáticos se han dirigido a proveedores de energía de todo el mundo, incluidas empresas de EE. UU., Canadá y Japón.
Los expertos de Cisco Talos hablan de la nueva campaña , según la cual, el objetivo de Lazarus era “infiltrarse en organizaciones de todo el mundo para establecer acceso a largo plazo y posterior robo de datos de interés para el estado enemigo”.
Mientras que los ataques anteriores de Lazarus resultaron en el uso de malware Preft (Dtrack) y NukeSped (Manuscrypt), la nueva campaña se destacó por el uso de otros tipos de malware: el bot VSingle HTTP , que ejecuta código arbitrario en una red remota; una puerta trasera YamaBot escrita por Go ; así como el troyano de acceso remoto (RAT) previamente desconocido MagicRAT, que se ha utilizado para encontrar y robar datos de dispositivos infectados, pero también se puede utilizar para lanzar cargas útiles adicionales en sistemas infectados.
Vale decir que los analistas de Symantec y AhnLab ya escribieron sobre esta actividad de Lazarus , pero el último informe de Cisco resultó ser más profundo y revela muchos más detalles sobre las actividades de los piratas informáticos.
Se sabe que Lazarus obtuvo acceso inicial a las redes corporativas de sus víctimas al explotar vulnerabilidades en productos de VMware (por ejemplo, Log4Shell). Estos problemas se han utilizado para ejecutar shellcode, crear shells inversos y ejecutar comandos arbitrarios en una máquina comprometida.
“Aunque se usaron las mismas tácticas en los ataques, el malware resultante desplegado fue diferente entre sí, lo que indica una amplia variedad de implantes a disposición de Lazarus”, dicen los investigadores.
Por lo tanto, el uso del malware VSingle en uno de los ataques permitió a los atacantes realizar diversas acciones, incluido el reconocimiento, el robo de datos y la instalación manual de puertas traseras, lo que les permitió comprender claramente el entorno de la víctima. En esencia, este malware prepara el escenario para el robo de credenciales, crea nuevos usuarios administradores en el host e instala un shell inverso para comunicarse con el servidor de comando y control y descargar complementos que amplían su funcionalidad.
En otro caso, después de obtener el acceso inicial y realizar un reconocimiento, los piratas informáticos no solo usaron VSingle, sino también MagicRAT, a lo que los investigadores prestaron especial atención y dedicaron una publicación separada . El troyano puede establecerse en el sistema de la víctima ejecutando comandos codificados y creando tareas programadas, realizando reconocimientos y extrayendo malware adicional del servidor de comando y control (como TigerRAT).
En el tercer caso, Lazarus implementó el malware YamaBot en los sistemas afectados, escrito en Go y con funciones RAT estándar:
- listado de archivos y directorios;
- transferir información sobre procesos al servidor de control;
- descarga de archivos remotos;
- ejecución de comandos arbitrarios;
- autodestrucción.
También se observa que el grupo a menudo usaba no solo sus propias herramientas, sino que también recopilaba credenciales en las redes de la víctima usando soluciones tan conocidas como Mimikatz y Procdump, deshabilitaba componentes antivirus y servicios de Active Directory, y también tomaba medidas para cubrir rastrear después de que se activaron las puertas traseras.
Fuente: https://xakep.ru/
0 Comentarios