Un proveedor de software no identificado ha sido comprometido a través de la explotación de vulnerabilidades de seguridad conocidas en otro software de alto perfil.
El Grupo Lazarus, alineado con Corea del Norte, ha sido identificado como el responsable de una nueva campaña en la que un proveedor de software no identificado fue comprometido a través de la explotación de vulnerabilidades de seguridad conocidas en otro software de alto perfil. Según Kaspersky, las secuencias de ataque culminaron en la implementación de familias de malware como SIGNBT y LPEClient, una herramienta de hacking conocida utilizada por el actor de amenazas para el perfilado de víctimas y la entrega de payloads.
«El adversario demostró un alto nivel de sofisticación, empleando técnicas de evasión avanzadas e introduciendo el malware SIGNBT para el control de las víctimas», dijo el investigador de seguridad Seongsu Park. «El malware SIGNBT utilizado en este ataque empleó una cadena de infección diversa y técnicas sofisticadas».
Kaspersky, el proveedor de ciberseguridad ruso, afirmó que la empresa que desarrolló el software explotado había sido víctima de un ataque de Lazarus en varias ocasiones, lo que indica un intento de robar el código fuente o envenenar la cadena de suministro de software, como en el caso del ataque a la cadena de suministro de 3CX.
Lista de puntos clave:
- El Grupo Lazarus «continuó explotando vulnerabilidades en el software de la empresa mientras se dirigía a otros fabricantes de software», agregó Park.
- Como parte de la última actividad, se ha dicho que varias víctimas fueron señaladas a partir de mediados de julio de 2023.
- Las víctimas, según la empresa, fueron atacadas a través de un software de seguridad legítimo diseñado para cifrar las comunicaciones web utilizando certificados digitales.
- El nombre del software no fue revelado y el mecanismo exacto por el cual el software fue utilizado para distribuir SIGNBT sigue siendo desconocido.
Además de confiar en varias tácticas para establecer y mantener la persistencia en los sistemas comprometidos, las cadenas de ataque emplean un cargador en memoria que actúa como un conducto para lanzar el malware SIGNBT. La función principal de SIGNBT es establecer contacto con un servidor remoto y recuperar más comandos para su ejecución en el host infectado.
El malware se llama así por su uso de cadenas distintivas que están prefijadas con «SIGNBT» en sus comunicaciones de comando y control (C2) basadas en HTTP. La puerta trasera de Windows, por su parte, está equipada con una amplia gama de capacidades para ejercer control sobre el sistema de la víctima. Esto incluye la enumeración de procesos, operaciones de archivos y directorios, y la implementación de payloads como LPEClient y otras utilidades de volcado de credenciales.
Kaspersky dijo que identificó al menos tres campañas de Lazarus distintas en 2023 utilizando vectores de intrusión variados y procedimientos de infección, pero que consistentemente confiaron en el malware LPEClient para entregar el malware de la última etapa.
Preguntas frecuentes:
1. ¿Qué es el Grupo Lazarus?
El Grupo Lazarus es un colectivo de hackers alineado con Corea del Norte, conocido por su alto nivel de sofisticación y sus diversas técnicas de evasión.
2. ¿Cómo opera el malware SIGNBT?
SIGNBT establece contacto con un servidor remoto y recupera más comandos para su ejecución en el host infectado. Se llama así por su uso de cadenas distintivas que están prefijadas con «SIGNBT» en sus comunicaciones de comando y control (C2) basadas en HTTP.
3. ¿Cuáles son las capacidades de la puerta trasera de Windows utilizada en estos ataques?
La puerta trasera de Windows está equipada con una amplia gama de capacidades para ejercer control sobre el sistema de la víctima. Esto incluye la enumeración de procesos, operaciones de archivos y directorios, y la implementación de payloads como LPEClient y otras utilidades de volcado de credenciales.
