Ciberdelincuente de grupo Lazarus atrapados ‘espiando’ a empresas del sector químico
El robo de criptomonedas no es suficiente para mantener ocupados a estos malhechores
La pandilla de ciberdelincuencia Lazarus de Corea del Norte ahora está irrumpiendo en las redes de las empresas del sector químico para espiarlas, según el equipo de inteligencia de amenazas de Symantec.
Si bien los robos de criptomonedas recientes y altamente rentables de la tripulación coreana han estado en los titulares, el grupo aún mantiene su mano de espionaje. herramientas utilizadas anteriormente por Lazarus, según Symantec.
La tienda de seguridad dice que la operación de espionaje es probablemente una continuación de la Operación Dream Job de los fisgones patrocinados por el estado, que comenzó en agosto de 2020. luego permitió que los delincuentes instalaran spyware en las computadoras de las víctimas.
Los investigadores de seguridad de ClearSky y AT&T documentaron campañas Dream Job dirigidas a organizaciones de defensa, gubernamentales e ingeniería en 2020 y 2021. Y a principios de este año, los investigadores de seguridad de Qualys documentaron una estafa similar dirigida a los solicitantes de empleo de Lockheed Martin.
El equipo de caza de amenazas de Symantec dice que el enfoque más reciente de Lazarus en las empresas químicas comenzó en enero, cuando la empresa de seguridad detectó actividad en la red en “varias organizaciones con sede en Corea del Sur”.
En este caso, los ataques generalmente comienzan cuando la víctima recibe un archivo HTML malicioso, que de alguna manera se copia en un archivo DLL llamado scskapplink.dll que se usa para comprometer una aplicación en el sistema.
“El archivo DLL se inyecta en INISAFE Web EX Client, que es un software legítimo de administración del sistema. El archivo scskapplink.dll suele ser una herramienta troyana firmada con exportaciones maliciosas añadidas”, dijeron los cazadores de amenazas de Symantec, y agregaron que la pandilla criminal ha usado el siguientes firmas de desarrolladores: DOCTER USA, INC y “A” MEDICAL OFFICE, PLLC.
El código malicioso inyectado descarga y ejecuta una carga útil de puerta trasera desde un servidor de comando y control que, según Symantec, usa la clave/valores de parámetros de URL “prd_fld=racket”. En este punto, el malware se conecta repetidamente al servidor C2 para ejecutar shellcode y descargar malware adicional para ejecutarlo.
Además, los delincuentes usan el Instrumental de administración de Windows (WMI) para moverse lateralmente a través de la red e inyectar en la aplicación MagicLine de DreamSecurity en otras computadoras.
En un caso particular que los cazadores de amenazas detallan en el blog, los atacantes robaron credenciales de la sección de registro SAM y SYSTEM, y luego pasaron varias horas ejecutando código de shell desconocido usando un cargador llamado final.cpl, que Symantec dijo que era probable que recolectara el archivo descargado. colmenas del sistema.
En otros casos, el equipo de seguridad dijo que los atacantes instalaron un archivo BAT para ganar persistencia en la red e implementaron herramientas posteriores al compromiso, incluido SiteShoter, que toma capturas de pantalla de las páginas web vistas en la máquina infectada.
“También se les vio usando una herramienta de registro de IP (IP Logger), un protocolo que se usa para encender las computadoras de forma remota (WakeOnLAN), una copiadora de archivos y directorios (FastCopy) y el Protocolo de transferencia de archivos (FTP) ejecutado bajo el proceso MagicLine, señaló Symantec.
Estados Unidos amenaza con congelar activos de Lazarus
La investigación de la firma de seguridad se produce cuando el Departamento del Tesoro de EE. UU. vinculó a los delincuentes respaldados por Pyongyang con la violación de seguridad del videojuego Axie Infinity’s Ronin Network del mes pasado en la que los delincuentes se llevaron alrededor de $ 625 millones en criptomonedas.
Mientras tanto, Washington también busca una resolución del Consejo de Seguridad de la ONU que congelaría los activos de Lazarus y sería un golpe directo a las arcas del gobierno de Corea del Norte. La medida, según Reuters, es parte de un proyecto de resolución más amplio que impondría más sanciones a Corea del Norte por sus nuevos lanzamientos de misiles balísticos.
Además de luchar contra los matones cibernéticos de Kim Jong-un, los federales están advirtiendo a los operadores de infraestructuras críticas que estén en alerta máxima ante malhechores que tengan como objetivo el sistema de control industrial (ICS) y los dispositivos de control de supervisión y adquisición de datos (SCADA).
Una alerta conjunta de CISA, el Departamento de Energía, la NSA y el FBI dijo que algunos de los dispositivos en riesgo incluyen controladores lógicos programables de Schneider Electric y Omron Electronics, así como servidores de arquitectura unificada de comunicaciones de plataforma abierta.
Los grupos de amenazas han creado herramientas personalizadas para buscar, comprometer y eventualmente controlar los dispositivos afectados después de obtener acceso inicial a las redes de tecnología operativa de una organización.
Fuente: theregister