El Equipo de Investigación y Análisis de Kaspersky (GReAT) ha descubierto una nueva campaña del grupo Lazarus contra organizaciones de todo el mundo. La investigación, publicada durante el Security Analyst Summit (SAS), reveló una sofisticada campaña APT distribuida a través de malware y software legítimo.
El equipo de GReAT identificó varios ciberincidentes que utilizaban software legítimo diseñado para cifrar la comunicación web a través de certificados digitales. A pesar de que se notificaron y parchearon las vulnerabilidades, algunas organizaciones de todo el mundo continuaron utilizando la versión afectada del software, lo que se ha convertido en una puerta abierta para Lazarus.
Los ciberatacantes mostraron un alto nivel de sofisticación, con técnicas de evasión avanzadas y el despliegue de malware para mantener a la víctima a raya. Aplicaron la ya conocida herramienta LPEClient, que anteriormente se había utilizado para vulnerar víctimas del sector de defensa, ingenieros nucleares y criptomonedas. Este malware es el punto inicial de la infección y juega un papel crucial a la hora de perfilar a la víctima y ejecutar la carga de la amenaza. Los expertos de Kaspersky aseguran que el papel de LPEClient en este y otros incidentes se alinea a la perfección con las técnicas del grupo Lazarus, como ya se vio en el sonado ataque contra la cadena de suministro 3CX.
Lazarus intentó en diversas ocasiones vulnerar al proveedor de software, probablemente con la intención de robar código fuente de carácter crítico o interrumpir la cadena de suministro. Aprovechó las vulnerabilidades del software para ampliar el alcance a otras empresas que utilizaban la versión sin parchear. Kaspersky Endpoint Security identificó la amenaza y paralizó nuevos ataques contra otros objetivos.
«El grupo Lazarus es persistente, tiene una motivación inquebrantable y muestra capacidades avanzadas. Opera a escala global, dirigiéndose contra una amplia gama de sectores de distintas formas. Es una amenaza en evolución constante que debe mantenernos siempre alerta», asegura Seongsu Park, investigador principal de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
Cómo evitar ser víctima de amenazas conocidas o desconocidas
- Actualizar con regularidad los dispositivos, aplicaciones y el software antivirus para parchear vulnerabilidades conocidas
- Usar una solución EDR de confianza como para la detección temprana de amenazas avanzadas, así como para investigar y resolver incidentes
- Proveer al equipo del SOC de la última información de amenazas.
- Ser cautelosos con los correos, mensajes y llamadas que solicitan información sensible. Es imprescindible verificar la identidad del interlocutor antes de compartir cualquier información confidencial o hacer clic en un enlace.
- Capacitar debidamente al equipo de seguridad para que pueda enfrentarse a las últimas amenazas.
