miércoles, 11 de diciembre de 2019

Los hackers de Lazarus usan TrickBot para infectar a las víctimas de alto nivel



Investigadores de seguridad que analizan infecciones del troyano TrickBot encontraron un artefacto interesante que apunta a una conexión con el grupo de hackers Lazarus asociados con Corea del Norte.

Las operaciones de los piratas informáticos de los estados nacionales y los grupos cibercriminales son típicamente distintas entre sí, pero los nuevos hallazgos sugieren que estos actores de la amenaza pueden cooperar hacia un objetivo motivado financieramente.

Las amplias capacidades de TrickBot

Desde su descubrimiento en 2016, TrickBot agregó una gran cantidad de capacidades más allá de los propósitos iniciales del troyano bancario. La entrega de malware, la creación de perfiles de red y la recopilación de datos extendida son algunos de los módulos que lo convierten en una solución flexible de crimeware que se adapta a todo tipo de necesidades.



Una variante de TrickBot conocida como Anchor, vista por primera vez en VirusTotal en julio de 2018, se destaca por apuntar a víctimas de alto valor por razones financieras.

Se comunica con el servidor de comando y control (C2) a través de DNS y, según un análisis de la compañía de seguridad NTT, se dirige a organizaciones del sector financiero.

SentinelLABS, la división de investigación recién lanzada de SentinelOne, define a Anchor como un marco de piezas que "permiten a los actores aprovecharlo [contra él] contra sus víctimas de más alto perfil".

Anchor utiliza herramientas personalizadas y ya disponibles y uno de sus componentes es un desinstalador que elimina los rastros de la infección, dejando a los equipos de análisis forense con poco para investigar.

Según los hallazgos de SentinelLABS, el servidor Anchor alberga múltiples herramientas que sirven a los intereses de los actores cibercriminales y de los estados nacionales.


Cuando los objetivos se alinean

Para los ciberdelincuentes, el servidor Anchor de TrickBot puede entregar ladrones, kits de fraude y ransomware, mientras que los grupos APT pueden aprovechar la información de reconocimiento y la persistencia. Sin embargo, algunos actores estatales también están interesados ​​en ganar dinero.

Los investigadores pudieron recuperar artefactos de una máquina infectada con la variante Anchor y encontraron una tarea que llegó a la tienda ecombox [.].

A través de la tarea anterior, el módulo de malware en la máquina infectada descargó el PowerRatankba, un malware basado en PowerShell vinculado a Lazarus que permite implementar una puerta trasera multifuncional.



El mismo dominio se vio en un ataque contra el Redbanc chileno en diciembre de 2018. El análisis de Flashpoint muestra que el malware PowerRatankba, atribuido al grupo Lazarus, llamó a un servidor en esa ubicación para descargar una herramienta de ataque de la siguiente etapa.

Este hallazgo revela lo que parece una relación comercial entre TrickBot y el actor Estado-nación de Lazarus, que está interesado en obtener ganancias financieras y recopilar información para futuras operaciones. TrickBot se adapta a ambas necesidades.

Lazarus es conocido por la motivación financiera detrás de sus operaciones, que incluyen ataques contra instituciones financieras en India, México, Pakistán, Filipinas, Corea del Sur, Taiwán, Turquía, Chile y Vietnam.

El atraco más famoso atribuido a este actor de amenaza se dirigió al Banco Central de Bangladesh, que causó pérdidas de $ 81 millones de un intento de transferencia de $ 1 mil millones.

Vitali Kremez, el jefe de SentinelLABS, escribe que TrickBot abriendo sus puertas a los actores de APT marca un nuevo hito en la evolución del delito cibernético.

"En este ecosistema, el crimeware y el APT ya no están aislados; por el contrario, cada tipo de crimen crea un valor agregado para el otro, cada uno se convierte en un multiplicador de fuerza" - Vitali Kremez

No está claro si esta colaboración es intencional o no, pero una cosa está clara: TrickBot logró evolucionar una vez más, creando una empresa abierta a cualquier actor de amenazas dispuesto a pagar el precio por usar sus herramientas, infraestructura y grandes datos cuidadosamente procesados ​​para permitir selección de objetivos de alto perfil.


No olvides Compartir... 


Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes