Los actores de amenazas persistentes avanzadas (APT) modifican continuamente su forma de trabajar. Mientras que algunos optan por mantenerse constantes en su estrategia, otros adoptan nuevas técnicas, tácticas y procedimientos

En el tercer trimestre del año, los investigadores de Kaspersky fueron testigos de cómo Lazarus, un actor de amenazas avanzadas muy prolífico desarrollaba capacidades de ataque a la cadena de suministro y utilizaba su marco multiplataforma MATA para sus objetivos de ciberespionaje. Esta y otras tendencias de APT en todo el mundo se resumen en el informe trimestral de inteligencia sobre amenazas de Kaspersky.

Lazarus es uno de los actores de amenazas más prolíficos del mundo y está activo desde al menos 2009. Este grupo APT ha estado detrás de campañas de ciberespionaje y ransomware a gran escala, con ataques en el sector de la defensa y en el mercado de criptomonedas. Ahora, todo apunta a que está aprovechando la gran variedad de herramientas avanzadas de las que dispone y aplicándolas a nuevos objetivos.

En junio de 2021, los investigadores de Kaspersky observaron al grupo Lazarus atacando el sector de la defensa utilizando el marco de malware MATA, que puede dirigirse a tres sistemas operativos: Windows, Linux y macOS. Históricamente, Lazarus ha utilizado MATA para atacar a varias industrias con fines tales como el robo de bases de datos de clientes y la propagación de ransomware. Sin embargo, esta vez nuestros investigadores rastrearon a Lazarus utilizando MATA con fines de ciberespionaje. El actor entregó una versión troyanizada de una aplicación utilizada por la víctima – una técnica habitual de Lazarus. Cabe destacar que no es la primera vez que el grupo Lazarus ataca a la industria de la defensa: su anterior campaña, ThreatNeedle, se llevó a cabo de forma similar a mediados de 2020.

Lazarus también ha sido descubierto construyendo funcionalidades de ataque a la cadena de suministro con un grupo actualizado de DeathNote, una variante ligeramente actualizada de BLINDINGCAN, un malware previamente reportado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA). Los investigadores de Kaspersky descubrieron campañas dirigidas a un think-tank surcoreano y a un proveedor de soluciones de monitorización de activos TI. En el primer caso descubierto por los investigadores de Kaspersky, Lazarus desarrolló una cadena de infección que partía de un software de seguridad surcoreano legítimo que desplegaba una carga útil maliciosa; en el segundo caso, el objetivo era una empresa letona que desarrollaba soluciones de monitorización de activos, un objetivo atípico para Lazarus. Como parte de la cadena de infección, Lazarus utilizó un descargador llamado «Racket» que firmó utilizando un certificado robado. El actor comprometió los servidores web vulnerables y cargó varios scripts para filtrar y controlar los implantes maliciosos en las máquinas atacadas con éxito.

«Estos acontecimientos recientes ponen de manifiesto dos cosas: Lazarus sigue interesado en el sector de la defensa y también busca ampliar sus capacidades con ataques a la cadena de suministro. Este grupo APT no es el único que hemos visto utilizando ataques a la cadena de suministro. En el último trimestre también hemos rastreado ataques de este tipo llevados a cabo por SmudgeX y BountyGlad. Cuando se llevan a cabo con éxito, los ataques a la cadena de suministro pueden resultar devastadores, afectando a mucho más de una organización, algo que vimos claramente con el ataque a SolarWinds el año pasado. Dado que los actores de las amenazas están invirtiendo en este tipo de capacidades, debemos permanecer atentos y centrar los esfuerzos de defensa en ese frente«, comenta Ariel Jungheit, investigador de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky.

El informe sobre las tendencias de APT del tercer trimestre resume los resultados de los informes de inteligencia sobre amenazas para suscriptores de Kaspersky, que también incluyen datos de Indicadores de Compromiso (IoC) y reglas YARA para ayudar en el análisis forense y la búsqueda de malware. 

Para más información, póngase en contacto con: [email protected] 

Para evitar ser víctima de un ataque dirigido por un actor de amenaza conocido o desconocido, Kaspersky recomienda implementar las siguientes medidas:

• Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para las TI de la compañía, que proporciona datos de ciberataques y perspectivas recopiladas por Kaspersky durante más de 20 años. El acceso gratuito a sus funciones, que permiten a los usuarios comprobar archivos, URLs y direcciones IP, está disponible

• Actualice su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación online de Kaspersky desarrollada por los expertos de GReAT

• Para la detección, investigación y remediación oportuna de los incidentes en el endpoint, implemente soluciones EDR como Kaspersky Endpoint Detection and Response

• Además de adoptar protección básica para endpoints, implemente una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform

• Dado que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social, introduzca la formación en materia de seguridad y enseñe habilidades prácticas a su equipo con soluciones como Kaspersky Automated Security Awareness Platform