ESET Research descubre un ataque liderado por Lazarus secuestrando Whatsapp y Linkedin, dirigido a contratistas de todo el mundo en los sectores Aeroespacial y de Defensa.
• Durante la conferencia mundial anual de ESET, los investigadores de ESET presentaron una nueva encuesta realizada por APT Lazarus Group y dirigida a contratistas de defensa en todo el mundo. Esta operación se llevó a cabo entre finales de 2021 y marzo de 2022.
• La telemetría de ESET localiza objetivos en Europa (Francia, Italia, España, Alemania, República Checa, Países Bajos, Polonia y Ucrania), Medio Oriente (Turquía, Qatar) y América Latina (Brasil).
• El grupo APT utilizó servicios como LinkedIn y WhatsApp para llevar a cabo sus falsas campañas de captación.
• Según el gobierno de EE.UU., Lazarus está vinculado al régimen de Corea del Norte.
En la conferencia mundial anual de ESET, los investigadores de ESET presentaron una nueva investigación sobre el infame grupo APT Lazarus. Jean-Ian Boutin, Director de Threat Research de ESET, presentó las múltiples campañas operadas por el grupo Lazarus contra contratistas de defensa, a escala global, entre finales de 2021 y marzo de 2022.
Según la telemetría de ESET, Lazarus se centró en empresas de Europa (Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania) y América Latina (Brasil).
Aunque el principal objetivo de esta operación era el ciberespionaje, el grupo también intentó exfiltrar sumas de dinero (sin éxito). “El grupo APT Lazarus ha sido ingenioso al implementar un interesante conjunto de herramientas, incluido, por ejemplo, un componente de modo de usuario capaz de explotar un controlador vulnerable de Dell para escribir en la memoria del kernel. Esta técnica avanzada se ha utilizado en un intento de eludir la supervisión de las soluciones de seguridad. explica Jean-Ian Boutin.
Ya en 2020, los investigadores de ESET ya habían documentado una campaña de un subgrupo de Lazarus contra contratistas aeroespaciales y de defensa europeos, llamada "Operación In(ter)ception". Se distinguió por el uso de las redes sociales, en particular LinkedIn, para establecer una relación de confianza entre el atacante y un empleado, antes de enviarle componentes maliciosos disfrazados de descripciones de puestos o aplicaciones. En ese momento, el objetivo eran empresas de Brasil, República Checa, Qatar, Turquía y Ucrania.
Los investigadores de ESET asumieron que la acción estaba dirigida principalmente a empresas europeas, pero al seguir a varios subgrupos de Lazarus que realizaban campañas similares contra empresas de defensa, rápidamente descubrieron que la campaña era mucho más amplia. Si bien el malware utilizado en las diferentes campañas fue diferente, el modus operandi (M.O.) original siempre fue el mismo: un reclutador falso contactó a un empleado a través de LinkedIn y terminó enviándole componentes maliciosos.
Los investigadores de ESET también notaron la reutilización de elementos de campañas de reclutamiento legítimas para agregar credibilidad a sus campañas de reclutamiento falsas, así como el uso de servicios como WhatsApp o Slack.
Campaña de reclutamiento falsa por Lazarus
En 2021, el Departamento de Justicia de EE. UU. acusó a tres programadores informáticos de ataques cibernéticos mientras trabajaban para el ejército de Corea del Norte. Según el gobierno de EE. UU., pertenecían a la unidad informática del ejército de Corea del Norte, conocida en la comunidad como el Grupo Lazarus.
Junto con el nuevo estudio de Lazarus, ESET realizó una presentación sobre “Ciberguerra pasada y presente en Ucrania” en la conferencia anual. Robert Lipovský, investigador de ESET, examinó en detalle la ciberguerra de Rusia contra Ucrania, incluido el último intento de interrumpir su red eléctrica utilizando Industrialer2 y diferentes ataques de borrado de datos.
Uniéndose a ESET Research en ESET World, el excomandante de la Estación Espacial Internacional y figura clave en la campaña Progress Protected de ESET, el astronauta canadiense Chris Hadfield, se unió al CEO de ESET, Richard Marko, para discutir las complejidades de la tecnología, la ciencia y la vida.
Acerca de ESET
Durante más de 30 años, ESET® ha estado desarrollando software y servicios de seguridad de TI para proteger los activos digitales corporativos, la infraestructura crítica y los consumidores de todo el mundo contra las ciberamenazas. Protegemos terminales fijos y móviles, herramientas colaborativas y proporcionamos detección y tratamiento de incidencias. Establecidos en todo el mundo, nuestros centros de I+D recopilan y analizan amenazas cibernéticas para proteger a nuestros clientes y nuestro mundo digital.
Comentarios