Nueva campaña hasta ahora desconocida, Lazarus

Lazarus es un actor de amenazas avanzadas muy prolífico y activo desde al menos 2009, vinculado a varias campañas multifacéticas. Desde principios de 2020, se ha dirigido a la industria de la Defensa con un backdoor personalizado apodado ThreatNeedle. El backdoor se mueve lateralmente a través de las redes infectadas recopilando información sensible.

Lazarus es uno de los actores de amenazas más prolíficos de la actualidad. Activo desde 2009 aproximadamente, ha estado involucrado en campañas de ciberespionaje a gran escala, campañas de ransomware e incluso ataques contra el mercado de criptomonedas. Aunque los últimos años se ha centrado en instituciones financieras, a principios de 2020 parece haber añadido a su “portfolio” el sector industrial de la Defensa.

Los investigadores de Kaspersky tuvieron conocimiento de esta campaña por primera vez cuando a la compañía se le solicitó ayuda para responder a un incidente, y descubrieron que la organización había sido víctima de un backdoor personalizado (un tipo de malware que permite el control remoto completo del dispositivo). Bautizado como ThreatNeedle, este backdoor se mueve lateralmente por las redes infectadas y extrae información confidencial. Hasta ahora, se han visto afectadas organizaciones de más de una docena de países.

La infección inicial se produce a través de spear phishing; los objetivos reciben correos electrónicos que contienen un archivo adjunto de Word malicioso o un enlace a uno alojado en los servidores de la empresa. Los correos electrónicos decían contener actualizaciones urgentes relacionadas con la pandemia y provenían, supuestamente, de un reconocido centro médico.

Una vez abierto el documento malicioso, el malware se descarga y da paso a la siguiente etapa del proceso de despliegue. El malware ThreatNeedle utilizado en esta campaña forma parte de una familia conocida como Manuscrypt, perteneciente al grupo Lazarus y vista anteriormente en otros ciberataques a compañías de criptomonedas. Una vez instalado, ThreatNeedle es capaz de obtener el control total del dispositivo de la víctima, lo que significa que puede realizar cualquier cosa, desde manipular archivos hasta ejecutar comandos recibidos.

Una de las técnicas más interesantes de esta campaña es la capacidad del grupo para robar datos tanto de las redes TI de las oficinas (red que contiene ordenadores con acceso a Internet) como de la red restringida de una planta (una que contiene activos de misión crítica y ordenadores con datos muy sensibles y sin acceso a Internet). Según la política de la empresa, se supone que no se puede transferir información entre estas dos redes. Sin embargo, los administradores podían conectarse a ambas redes para mantener estos sistemas. Lazarus pudo obtener el control de las estaciones de trabajo de los administradores y, a continuación, configurar una pasarela maliciosa para atacar la red restringida y robar y extraer datos confidenciales de allí.  

«Lazarus ha sido quizás el actor de amenazas más activo de 2020, y no parece que esto vaya a cambiar a corto plazo. De hecho, ya en enero de este año, el equipo de Análisis de Amenazas de Google informó de que Lazarus había sido detectado usando esta misma puerta trasera para atacar a los investigadores de seguridad. Esperamos ver más acciones de ThreatNeedle en el futuro, por lo que estaremos atentos», comenta Seongsu Park, investigador de seguridad senior del Equipo de Investigación y Análisis Global (GReAT).

«Lazarus no sólo es muy prolífico, sino también muy sofisticado. No sólo fueron capaces de superar la segmentación de la red, sino que investigaron a fondo para crear correos electrónicos de spear phishing muy personalizados y eficaces, además de construir herramientas personalizadas para extraer la información robada a un servidor remoto. Dado que las organizaciones siguen trabajando a distancia y, por tanto, son más vulnerables, es importante que tomen precauciones de seguridad adicionales para protegerse de este tipo de ataques avanzados», añade Vyacheslav Kopeytsev, experto en seguridad de Kaspersky ICS CERT.

Para protegerse de ataques como ThreatNeedle, los expertos de Kaspersky recomiendan a las organizaciones:

• Proporcionar a su personal una formación básica de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
• Si una empresa tiene tecnología operativa (OT) o infraestructura crítica, asegurarse de que está separada de la red corporativa o de que no haya conexiones no autorizadas.
• Asegúrese de que los empleados conocen y siguen las políticas de ciberseguridad. 
• Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas (TI). 
• Implantar una solución de seguridad corporativa que detecte las amenazas avanzadas a nivel de red en una fase temprana.
• También se recomienda implementar una solución dedicada para los nodos y redes industriales que permita la supervisión del tráfico de la red OT, el análisis y la detección de amenazas.