Lazarus es uno de los grupos APT avanzados que se sabe que apunta a la industria de la defensa
Se ha observado al notorio actor Lazarus Group montando una nueva campaña que hace uso del servicio Windows Update para ejecutar su carga maliciosa, ampliando el arsenal de técnicas de ataque Living off the Land (LotL) aprovechadas por el grupo de APT (Amenaza persistente avanzada) para promover sus objetivos.
El Grupo Lazarus, también conocido como APT38, Hidden Cobra, Whois Hacking Team y Zinc, es el apodo asignado al grupo de piratería del estado-nación con sede en Corea del Norte que ha estado activo desde al menos 2009. El año pasado, el actor de amenazas estuvo vinculado a una elaborada campaña de ingeniería social dirigida a investigadores de seguridad.
Los últimos ataques de spear-phishing, que Malwarebytes detectó el 18 de enero, se originan a partir de documentos armados con señuelos relacionados con el trabajo que se hacen pasar por la compañía aeroespacial y de seguridad global estadounidense Lockheed Martin.
Al abrir el archivo señuelo de Microsoft Word, se desencadena la ejecución de una macro maliciosa incrustada en el documento que, a su vez, ejecuta un shellcode decodificado en Base64 para inyectar una serie de componentes de malware en el proceso explorer.exe.
En la siguiente fase, uno de los archivos binarios cargados, "drops_lnk.dll", aprovecha el cliente de Windows Update para ejecutar un segundo módulo llamado "wuaueng.dll". "Esta es una interesante técnica utilizada por Lazarus para ejecutar su archivo DLL malicioso utilizando Windows Update Client para eludir los mecanismos de detección de seguridad", señalaron los investigadores Ankur Saini y Hossein Jazi.
La firma de ciberseguridad caracterizó a "wuaueng.dll" como "una de las DLL más importantes en la cadena de ataque", cuyo objetivo principal es establecer comunicaciones con un servidor de comando y control (C2): un repositorio de GitHub que aloja módulos maliciosos disfrazados de archivos de imagen PNG. Se dice que la cuenta de GitHub se creó el 17 de enero de 2022.
Malwarebytes dijo que los enlaces a Lazarus Group se basan en varias pruebas que los vinculan a ataques anteriores del mismo actor, incluidas superposiciones de infraestructura, metadatos de documentos y el uso de plantillas de oportunidades laborales para identificar a sus víctimas.
"Lazarus APT es uno de los grupos APT avanzados que se sabe que apunta a la industria de la defensa", concluyeron los investigadores. "El grupo continúa actualizando su conjunto de herramientas para evadir los mecanismos de seguridad. Aunque han utilizado su antiguo método de tema de trabajo, emplearon varias técnicas nuevas para eludir las detecciones".
