Hackers asociados con el grupo Lazarus, que se sospecha está vinculado a Corea del Norte, ahora apuntan a las cadenas de suministro de Corea del Sur, dijeron investigadores de ciberseguridad de ESET.
Los atacantes abusaron del software de seguridad legítimo de Corea del Sur y de los certificados digitales robados de dos empresas diferentes para implementar su malware.
Las actividades de Lazarus Group fueron ampliamente informadas después de que se le atribuyera el ciberataque de 2014 a Sony Pictures Entertainment y el ataque de ransomware WannaCry de 2017 en países como Estados Unidos y Gran Bretaña.
Los investigadores de malware Anton Cherepanov y Peter Kalnai escribieron que los piratas informáticos están particularmente interesados en los ataques a la cadena de suministro , ya que les permiten implementar de forma encubierta malware en muchas computadoras al mismo tiempo.
"Podemos predecir que la cantidad de ataques a la cadena de suministro aumentará en el futuro, especialmente contra empresas cuyos servicios son populares en regiones específicas o en sectores verticales específicos", escribieron los investigadores en una publicación que detalla cómo los investigadores de ESET descubrieron intentos de implementar Lazarus. malware a través de un ataque a la cadena de suministro en Corea del Sur.
Los investigadores explicaron que a los usuarios de Internet en Corea del Sur a menudo se les pide que instalen software de seguridad adicional cuando visitan sitios web gubernamentales o de banca por Internet.
WIZVERA VeraPort es una aplicación de Corea del Sur que ayuda a administrar este software de seguridad adicional.
Después de instalar esta aplicación en sus dispositivos, los usuarios reciben e instalan todo el software necesario para un sitio web específico con VeraPort.
Los atacantes abusaron de este mecanismo para entregar el malware Lazarus desde un sitio web legítimo pero comprometido, según los investigadores de ESET.
ESET Research tiene fuertes indicios para atribuir el ataque a Lazarus, ya que es una continuación de lo que KrCERT ha llamado Operation BookCodes, atribuido a Lazarus por algunos en la comunidad de investigación de ciberseguridad.
Las otras razones son las características típicas del conjunto de herramientas; detección (muchas herramientas ya están marcadas como NukeSped por ESET); el hecho de que el ataque tuvo lugar en Corea del Sur, donde se sabe que opera Lazarus; la naturaleza inusual y personalizada de los métodos de intrusión y encriptación utilizados; y la configuración de la infraestructura de red.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
