El actor de amenazas Lazarus es uno de los piratas norcoreanos más activos y sofisticados
Se ha descubierto que un ataque de spear-phishing operado por un actor de amenazas norcoreano dirigido a su homólogo del sur oculta su código malicioso dentro de un archivo de imagen de mapa de bits (.BMP) para soltar un troyano de acceso remoto (RAT) capaz de robar información confidencial.
Al atribuir el ataque al Grupo Lazarus en función de las similitudes con las tácticas anteriores adoptadas por el adversario, los investigadores de Malwarebytes dijeron que la campaña de phishing comenzó distribuyendo correos electrónicos con un documento malicioso que identificó el 13 de abril.
"El atacante ha utilizado un inteligente método para eludir los mecanismos de seguridad en los que ha incrustado su archivo HTA malicioso como un archivo zlib comprimido dentro de un archivo PNG que luego se ha descomprimido durante el tiempo de ejecución al convertirse al formato BMP", dijeron los investigadores de Malwarebytes.
"La carga útil enviada era un cargador que decodificó y descifró en la memoria la carga útil de la segunda etapa. La carga útil de la segunda etapa tiene la capacidad de recibir y ejecutar comandos/código de shell, así como realizar exfiltración y comunicaciones a un servidor de comando y control".
Creado el 31 de marzo de 2021, el documento de señuelo (en coreano) pretende ser un formulario de solicitud de participación para una feria en una de las ciudades de Corea del Sur y solicita a los usuarios que habiliten macros al abrirlo por primera vez, solo para ejecutar el código de ataque que desencadena la cadena de infección, y finalmente activa un ejecutable llamado "AppStore.exe".
Luego, la carga útil procede a extraer una carga útil cifrada de segunda etapa adjunta a sí misma que se decodifica y descifra en el tiempo de ejecución, seguida de establecer comunicaciones con un servidor remoto para recibir comandos adicionales y transmitir los resultados de esos comandos al servidor.
"El actor de amenazas Lazarus es uno de los actores de amenazas norcoreanos más activos y sofisticados que ha atacado en los últimos años a varios países, incluidos Corea del Sur, Estados Unidos y Japón", dijeron los investigadores. "Se sabe que Lazarus emplea en sus operaciones nuevas técnicas y conjuntos de herramientas personalizadas para aumentar la efectividad de sus ataques".