APT Lazarus de Corea del Norte apunta a entidades rusas

Los investigadores de seguridad en Check Point han descubierto una campaña de espionaje cibernético realizada por el grupo Lazarus APT dirigido a objetivos rusos.

Los expertos en seguridad de Check Point han descubierto una campaña de ciberespionaje llevada a cabo por Lázaro dirigida a objetivos rusos.

Si la atribución es correcta, esta es la primera vez que los ciber espías norcoreanos atacan a entidades rusas.

"Por el primero horaestábamos observando lo que parecía ser un ataque coordinado de Corea del Norte contra entidades rusas. Si bien atribuir ataques a un determinado grupo de amenazas u otro es problemático, el análisis a continuación revela conexiones intrínsecas a las tácticas y técnicas.yherramientas utilizadas por el grupo de APT de Corea del Norte - Lazarus. ” lee el análisis publicado por CheckPoint.

Los expertos creen que los ataques fueron llevados a cabo por el actor de amenazas Bluenoroff , una división del temido grupo Lazarus APT, que estaba motivado financieramente.

Bluenoroff es uno de los grupos más activos en términos de ataques contra instituciones financieras y está tratando de infectar activamente a diferentes víctimas en varias regiones y empresas comerciales en Bangladesh en 2014 y al ahora famoso Ciber-Heist de $ 81million de la central de Bangladesh.bancosCuenta en el Banco de la Reserva Federal de Nueva York.

La carga útil final utilizada en esta campaña es la puerta trasera KEYMARBLE que se descarga de un servidor comprometido en forma de un archivo CAB disfrazado como una imagen JPEG. ( http: //37.238.135 [.] 70 / img / anan.jpg ).

El servidor comprometido utilizado por los actores de amenazas es un sitio web poco convincente para el "Departamento de Información" de la "South Oil Company". El servidor está alojado por EarthLink Ltd. Communications & Internet Services y está ubicado en Iraq.

La cadena de infección utilizada en esta campaña comprende tres pasos principales:

El primero es un archivo ZIP adjunto que contiene un PDF de señuelo benigno y un documento de Word con armas que contiene macros maliciosas. Uno de los documentos de señuelo observados en esta campaña contiene un NDA para StarForce Technologies, una empresa con sede en Rusia que proporciona soluciones de protección contra copia.

Las macros en el documento de Word descargan un script VBS desde un Drobox URL y ejecutar un script VBS.

El VBS vale descarga y ejecuta un archivo CAB desde un servidor comprometido, extrae la carga útil y la ejecuta.

Lázaro se dirige a Rusia

En algún momento durante la campaña, los atacantes cambiaron de táctica y comenzaron a saltar la segunda etapa utilizando macros de Word que descargan y ejecutan la puerta trasera directamente.

¿Por qué debería Corea del Norte espiar a las entidades rusas?: Es difícil decirlo, considerando la buena relación entre los dos países, de todos modos, no podemos excluir que las falsas banderas de un usuario actor tercero se disfrazen.

Fecha actualización el 2021-02-21. Fecha publicación el 2019-02-21. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
apt