El Grupo Lazarus fue visto utilizando fallas de seguridad en software para acceder a una empresa financiera de Corea del Sur dos veces el año pasado. El grupo vinculado a Corea del Norte se infiltró en la compañía en cuestión en mayo de 2022 y nuevamente en octubre gracias a la vulnerabilidad del día cero del mismo software, según una nota del ASEC (Centro de Respuesta a Emergencias de Seguridad de AhnLab). Este último informó el software en cuestión a la Agencia Coreana para Internet y la seguridad, ya que la vulnerabilidad aún no se ha verificado por completo y no se ha publicado ninguna solución. Por lo tanto, el informe no menciona el nombre del software en cuestión.

Durante la infiltración en mayo de 2022, la compañía financiera en cuestión utilizó una versión vulnerable de un programa de certificado comúnmente utilizado por instituciones públicas y universidades. Después del incidente, la compañía ha actualizado todo su software con las versiones más recientes. Sin embargo, el Grupo Lazarus utilizó la vulnerabilidad de cero día del mismo software para hacer su infiltración la segunda vez, dijo ASEC en su investigación.

Índice
  1. Ataque de BYOVD
  2. Actividades de Lázaro a prueba de Pyongyang

Ataque de BYOVD

Para desactivar los productos de seguridad en máquinas infectadas y utilizar módulos vulnerables del núcleo de software, el grupo Lazarus utilizó la técnica BYOVD (traiga su propio controlador). En los ataques de BYOVD, los ciberdelincuentes usan pilotos legítimamente firmados, pero vulnerables para llevar a cabo malware en los sistemas. El atacante puede usar fallas de conductores para realizar acciones maliciosas con privilegios en el núcleo. La violación del tipo "Día cero" operada por los autores del software de certificado de amenaza en cuestión comúnmente utilizado en Corea. "Como estos tipos de software no se actualizan automáticamente, deben corregirse manualmente con la última versión o eliminarse si no se usan", explica ASEC en su estudio.

Para ocultar mejor el malware, el grupo Lázaro ha cambiado los nombres de los archivos antes de eliminarlos o ha cambiado los horodatages utilizando una técnica anti-forense, indica ASEC en su investigación. El ataque resultó en la instalación de varias puertas robadas en sistemas infectados, que se conectaron a los servidores de control remoto y control y han recuperado binarios adicionales que se han ejecutado. "En lugar de solo tomar medidas posteriores al ataque, es necesario un monitoreo continuo para evitar recurrencias", dijo ASEC en su estudio.

Actividades de Lázaro a prueba de Pyongyang

El Grupo Lazarus, activo desde 2009, es un grupo de amenazas patrocinado por el estado de Corea del Norte y otorgó a la Oficina de Reconocimiento General de la Agencia de Inteligencia de Corea del Norte. Entre los ataques más notables del grupo, podemos citar el de 2014 contra Sony Pictures Entertainment, durante el cual el grupo desplegó un "limpiaparabrisas" para eliminar datos confidenciales de la compañía. En 2016, el grupo robó millones de dólares en el Banco Central de Bangladesh. En los últimos tiempos, los ciberiros también se han dirigido al sector de criptomonedas. Al comienzo de la semana, el FBI confirmó que el Grupo Lazarus era responsable del robo de la moneda del puente Harizon Horizon. Este último había reportado el vuelo de $ 100 millones en moneda virtual en junio de 2022

Al grupo, seguido por varios investigadores de seguridad, ha actualizado varias tácticas, técnicas y procedimientos e introduce cargos útiles adicionales. El mes pasado, los investigadores ESET otorgaron un cargo útil del WSLINK llamado Winordll64 al Grupo Lazarus. Esta carga útil se puede usar para manejar archivos, ejecutar otros códigos y obtener mucha información sobre el sistema subyacente que se puede usar más adelante para un movimiento lateral. También se sabe que el grupo ha atacado a varias compañías coreanas vinculadas a la defensa nacional, los satélites, el software y la prensa en los últimos dos años, según ASEC. "El grupo Lázaro estudia las vulnerabilidades de varios otros software y modifica constantemente su TTP al cambiar la forma en que desactiva los productos de seguridad e implementa técnicas anti-forenses para interferir o retrasar la detección y el análisis para infiltrarse informe.