Lazarus lanza ataques contra las industrias médica y energética
Un ciberataque del grupo Lazarus se dirige a los sectores de la investigación médica y la energía, así como a sus socios de la cadena de suministro, aprovechando vulnerabilidades conocidas encontradas en dispositivos Zimbra sin parchear, según una investigación de WithSecure.
El ataque, llamado "No Pineapple", deja un mensaje de error en una puerta trasera con el nombre "en caso de que los datos excedan el tamaño de byte segmentado". El informe sugiere que el objetivo es recabar información de las organizaciones víctimas. El grupo está explotando vulnerabilidades conocidas en estos dispositivos para obtener el compromiso de la red y escalar privilegios, lo que lleva a la exfiltración de datos.
Entre las víctimas figuran un fabricante de tecnología utilizada en energía, investigación, defensa y sanidad, un departamento de ingeniería química de una destacada universidad de investigación y otros de diversos sectores verticales.
El ataque se debe a una vulnerabilidad crítica de código remoto catalogada como CVE-2022-41352, cuya gravedad está clasificada como 9.8 y que fue explotada activamente a partir de mediados de septiembre de 2022. Zimbra publicó una solución recomendada para instalar la utilidad pax y reiniciar los servicios de Zimbra, pero el informe de WithSecure muestra que el fallo fue efectivamente explotado por el grupo Lazarus.
La vulnerabilidad se produce porque los dispositivos utilizan un motor antivirus que emplea una utilidad cpio para escanear los correos electrónicos entrantes y el atacante es capaz de crear un archivo para acceder a cualquier archivo dentro de los dispositivos Zimbra. El grupo Lazarus utiliza webshells y binarios personalizados fácilmente disponibles, además de herramientas legítimas de Windows y Unix, para llevar a cabo el ataque.
El ataque se desplegó contra un servidor de correo Zimbra en agosto, donde los atacantes explotaron una vulnerabilidad local de escalada de privilegios. Tras un mes de reconocimiento y movimiento lateral, los atacantes exfiltraron aproximadamente 100 GB de datos. El informe contiene una lista de tácticas y métodos desplegados durante la campaña observada, para ayudar a su identificación y corrección.
Las fuentes de este artículo incluyen un artículo en SCMagazine.