El grupo norcoreano de APT, Lazarus, vuelve a aparecer en los titulares

Esta vez, el actor de la amenaza está llevando a cabo una campaña que se hace pasar por contratistas de defensa de renombre. Y tiene como objetivo a los solicitantes de empleo y los profesionales de la ingeniería en organizaciones gubernamentales.

En esta última campaña, la técnica clave utilizada para crear el documento malicioso siguió siendo la misma. Los atacantes hicieron un uso completo de las técnicas de ofuscación para reducir las detecciones.

En algunos de los documentos, las macros, al ejecutarse, intentarían cambiar el nombre del programa de utilidad de línea de comandos Certutil para ocultar sus actividades. Los correos electrónicos que pretendían ser de Rheinmetall y Airbus utilizaron esta táctica mientras compartían tácticas de comunicación de C&C similares. En los señuelos de documentos de Rheinmetall, la carga útil final fue Mavinject.exe, un componente legítimo de Windows utilizado para inyecciones de código arbitrario.

En el caso del documento de Airbus, cuando se ejecuta la carga útil, el código macro espera tres segundos y crea un archivo .inf, envía una baliza al C&C con el estado de ejecución y borra todos los archivos temporales para eliminar sus huellas.

¿Qué ha ocurrido?

Según un informe de AT&T Alien Labs, la actividad ha estado ocurriendo durante varios meses, en los que los atacantes han estado apuntando a víctimas en los EE. UU. Y Europa.

Se observó que los atacantes enviaban correos electrónicos a posibles candidatos, haciéndose pasar por contratistas de defensa reconocidos mundialmente como General Motors, Airbus y Rheinmetall. El correo electrónico contiene documentos de Windows con malware integrado basado en macros que está diseñado específicamente para esta campaña y personalizado para cada objetivo. Además de utilizar documentos maliciosos de Microsoft Office, los atacantes aprovecharon la infraestructura de terceros comprometida para sus comunicaciones, de manera similar a sus ataques anteriores.

Hace unos meses, se observó que Lazarus ejecutaba una campaña similar, cuando usaba el malware ThreatNeedle para atacar la industria de defensa. En su última campaña, el grupo continúa utilizando varios rasgos similares a sus ataques anteriores. Incluido el uso de macros maliciosas incrustadas dentro de los documentos. Sin embargo, las mejoras graduales en las técnicas de ofuscación, así como la capacidad de ocultar sus huellas eliminando todas las huellas, indican que este grupo de amenazas todavía está haciendo esfuerzos para que sus ataques sean más eficientes. Por lo tanto, es importante que las agencias de seguridad vigilen estrictamente a Lazarus.