El grupo Lazarus se dirige a nuevos sectores con tácticas cambiantes
Según la empresa de ciberseguridad Kaspersky, el conocido grupo de amenazas norcoreano Lazarus Group ha cambiado su enfoque y actualizado sus tácticas como parte de una campaña denominada DeathNote. Aunque el grupo es más conocido por atacar el sector de las criptomonedas, sus recientes ataques se han ampliado para incluir los sectores de la automoción, académico y de defensa en Europa del Este y otros lugares.
Seongsu Park, investigador de Kaspersky, explicó que "en este punto, el actor cambió todos los documentos señuelo por descripciones de puestos de trabajo relacionados con contratistas de defensa y servicios diplomáticos".
El clúster DeathNote también se conoce como Operación Dream Job o NukeSped y ha sido rastreado por otras empresas, entre ellas Mandiant, propiedad de Google. Los ataques de phishing suelen utilizar señuelos con temática bitcoin para animar a las víctimas potenciales a abrir documentos con macros, que luego dejan caer la puerta trasera Manuscrypt (aka NukeSped) en la máquina comprometida.
Kaspersky también señaló que el Grupo Lazarus había desplegado una versión troyanizada de un lector de PDF legítimo llamado SumatraPDF Reader para iniciar su rutina maliciosa. El uso de lectores de PDF falsos por parte del grupo ya había sido revelado por Microsoft.
Kaspersky dijo que había descubierto otro ataque en marzo de 2022 dirigido a víctimas en Corea del Sur mediante la explotación de software de seguridad para entregar malware downloader capaz de distribuir una puerta trasera y robar información. Además, el grupo fue capaz de comprometer a un contratista de defensa en América Latina mediante el uso de técnicas de carga lateral de DLL después de que la víctima abriera un archivo PDF troyanizado.
Según un informe de Kaspersky, Lazarus también ha dirigido sus recientes ciberataques contra los sectores de la automoción y académico. En él se afirma que estos ataques forman parte de una campaña más amplia del grupo contra la industria de defensa.
Kaspersky reveló que el grupo desplegó implantes BLINDINGCAN (también conocidos como AIRDRY o ZetaNile) y COPPERHEDGE para llevar a cabo estos ataques. En un caso, el grupo utilizó una versión troyanizada de un lector de PDF legítimo llamado SumatraPDF Reader para iniciar su rutina maliciosa. Microsoft ya había revelado anteriormente que el grupo utilizaba aplicaciones fraudulentas de lectura de PDF.
Entre los objetivos de estos ataques se encontraban un proveedor de soluciones de supervisión de activos informáticos con sede en Letonia y un grupo de reflexión de Corea del Sur. El grupo también abusó de software de seguridad legítimo ampliamente utilizado en Corea del Sur para ejecutar las cargas útiles.
Kaspersky también descubrió otro ataque en marzo de 2022 que se dirigió a varias víctimas en Corea del Sur aprovechando el mismo software de seguridad para distribuir malware de descarga capaz de distribuir una puerta trasera y un ladrón de información para recopilar datos de pulsaciones de teclas y del portapapeles.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.