Apt Lazarus utiliza backdoor modular

VMware lanza actualizaciones de seguridad críticas para vSphere Data Protection (VDP) que abordan una serie de vulnerabilidades de seguridad

Tal como fue desenterrado por el equipo de investigación de Trend Micro , el grupo de amenazas APT38 logró comprometer con éxito una serie de sistemas informáticos propiedad de varias instituciones financieras de América Latina.

Lazarus utilizó un malware de puerta trasera para infiltrarse en sus objetivos, y la herramienta maliciosa fue descubierta en los sistemas afectados en algún momento durante la semana pasada.

Además, según Trend Micro, la puerta trasera de Lazarus fue colocada en las computadoras de las instituciones financieras latinoamericanas el 19 de septiembre, en función del tiempo de creación de los servicios que comenzó una vez que logró comprometer sus objetivos

La puerta trasera de Lazarus usó tres componentes diferentes para poseer completamente sus objetivos, con AuditCred.dll / ROptimizer.dll siendo el cargador lanzado como un servicio, Msadoz.dll es el malware de puerta trasera encriptada real y Auditcred.dll.mui / rOptimizer.dll .mui el archivo de configuración encriptado del malware.

"La DLL del cargador se instala como un servicio y utiliza diferentes nombres (AuditCred y ROptimizer) en diferentes máquinas", dijo Trend Micro en su análisis. "Sin embargo, aún tienen las mismas capacidades y son esencialmente el mismo archivo. Su propósito es cargar Msadoz.dll para descifrarlo y ejecutarlo en la memoria".

La puerta trasera Lazarus puede descargar malware adicional en sistemas comprometidos

Una vez que la puerta trasera de Lazarus logró infiltrarse en los sistemas informáticos de las instituciones financieras, pudo realizar una amplia gama de tareas al recopilar información del sistema, abrir procesos inversos y descargar malware adicional para eliminar archivos locales, actualizar su configuración, administrar procesos locales e inyectar códigos. en procesos ya en ejecución.

Trend Micro también se dio cuenta de que la puerta trasera APT38 también usaba una configuración de almacenamiento intrincada diseñada para ofuscar su presencia y hacer que la extracción fuera lo más difícil posible, con el cargador almacenado en una ubicación y la puerta trasera cifrada escondida en otra parte de la unidad.

Esta nueva campaña de ataque a Lazarus descubierta por Trend Micro es tan sofisticada como todas las otras en las que se involucró el grupo APT, con herramientas de malware altamente complejas diseñadas para evitar la detección y, cuando sea posible, inutilizan los sistemas informáticos de sus víctimas después de robar fondos o exfiltrarlos con éxito. los datos a los que se dirige.

Hasta ahora, se ha observado a Lázaro al realizar operaciones altamente complicadas en al menos 11 países de todo el mundo según FireEye y han demostrado su voluntad de ir tan lejos como sea posible, destruyendo todas las pistas que quedan e incluso renderizando las redes. Atacan inoperables si la situación lo requiere.

Semrush sigue a tu competencia


Fecha actualización el 2018-11-22. Fecha publicación el 2018-11-22. Categoria: Apt Lazarus Autor: Oscar olg Mapa del sitio Fuente: softpedia
Apt Lazarus