Es parte de una campaña de ciberespionaje de larga duración conocida como Operación Dream Job
Se ha observado que el Grupo Lazarus, un infame actor de amenazas vinculado a la República Popular Democrática de Corea (RPDC), ha aprovechado una "compleja cadena de infección" dirigida al menos a dos empleados pertenecientes a una organización no identificada relacionada con la energía nuclear en el lapso de un mes en enero de 2024.
Los ataques, que culminaron con el despliegue de una nueva puerta trasera modular denominada CookiePlus, son parte de una campaña de ciberespionaje de larga duración conocida como Operación Dream Job, también rastreada como NukeSped por la empresa de ciberseguridad Kaspersky. Se sabe que está activo desde al menos 2020, cuando fue expuesto por ClearSky.
Estas actividades a menudo implican atacar a desarrolladores y empleados de varias empresas, incluidas las de defensa, aeroespacial, criptomonedas y otros sectores globales, con lucrativas oportunidades laborales que en última instancia conducen a la implementación de malware en sus máquinas.
"Lazarus está interesado en llevar a cabo ataques a la cadena de suministro como parte de la campaña DeathNote, pero esto se limita principalmente a dos métodos: el primero es enviando un documento malicioso o un visor de PDF troyanizado que muestra al objetivo las descripciones de trabajo personalizadas", dijo la firma rusa en un análisis exhaustivo.
"La segunda es distribuir herramientas de acceso remoto troyanizadas como VNC o PuTTY para convencer a los objetivos de que se conecten a un servidor específico para una evaluación de habilidades".
El último conjunto de ataques documentados por Kaspersky involucra el segundo método, en el que el adversario utiliza una cadena de infección completamente renovada que entrega una utilidad VNC troyanizada bajo el pretexto de realizar una evaluación de habilidades para puestos de TI en importantes empresas aeroespaciales y de defensa.
Vale la pena señalar que el uso por parte de Lazarus Group de versiones fraudulentas de aplicaciones VNC para atacar a ingenieros nucleares fue destacado previamente por la compañía en octubre de 2023 en su informe de tendencias APT para el tercer trimestre de 2023.
"Lazarus entregó el primer archivo a al menos dos personas de la misma organización (los llamaremos Host A y Host B)", dijeron los investigadores Vasily Berdnikov y Sojun Ryu. "Después de un mes, intentaron ataques más intensivos contra el primer objetivo".
Se cree que las aplicaciones VNC, una versión troyanizada de TightVNC llamada "AmazonVNC.exe", se distribuyeron en forma de imágenes ISO y archivos ZIP. En otros casos, se utilizó una versión legítima de UltraVNC para instalar una DLL maliciosa empaquetada dentro del archivo ZIP.
Kaspersky afirmó que también observó la implementación del malware CookieTime en el Host A, aunque sigue siendo desconocido el método exacto que se utilizó para facilitarlo. CookieTime, descubierto por primera vez por la empresa en septiembre y noviembre de 2020, recibe ese nombre por su uso de valores de cookies codificados en solicitudes HTTP para obtener instrucciones de un servidor de comando y control (C2).
CookiePlus recibe su nombre del hecho de que, cuando se detectó por primera vez en la red, se disfrazó como un plugin de código abierto de Notepad++ llamado ComparePlus. En los ataques dirigidos contra la entidad relacionada con la energía nuclear, se descubrió que se basaba en otro proyecto llamado DirectX-Wrappers.
El malware actúa como un descargador para recuperar una carga útil codificada en Base64 y encriptada con RSA del servidor C2, que luego se decodifica y descifra para ejecutar tres códigos shell diferentes o una DLL. Los shellcodes están equipados con funciones para recopilar información del sistema y hacer que el módulo principal CookiePlus duerma durante una cierta cantidad de minutos.