El reputado actor norcoreano de APT, conocido como Lazarus Group (alias Hidden Cobra) suele centrar sus esfuerzos de piratería en Corea del Sur, Japón y Estados Unidos, pero una de sus campañas sospechosas del último mes de enero, parece haberse dirigido a las empresas rusas, con su firma Lazarus backdoor malware.
La campaña de phishing, que se llevó a cabo del 26 al 31 de enero, incluyó correos electrónicos con contenido escrito en caracteres cirílicos, pero con páginas de código escritas en coreano, según un artículo publicado en un blog por Check Point Software Technologies, cuyos investigadores descubrieron la operación. Además, Check Point dice que las únicas muestras de malware cargadas en VirusTotal proceden de fuentes rusas, lo que sugiere que el objetivo no era casualidad.
Los e-mails contenían archivos adjuntos.zip con dos documentos: uno, PDF de señuelo benigno y un documento malicioso de Office, ya sea Word o Excel. Y los documentos maliciosos utilizaban imágenes y mensajes de error para intentar engañar a los destinatarios para que habilitaran las macros maliciosas.
“La campaña muestra un código macro muy similar en las variantes XLS y DOC del gotero. Las macros en sí son muy simples y directas, pero en este caso, mantenerlas simples y sin trucos avanzados de ofuscación, resultó en documentos maliciosos que fueron capaces de pasar desapercibidos por muchos proveedores de seguridad acreditados en Virus Total”, explica el artículo del blog.
El PDF señuelo que acompañaba a los documentos de Microsoft Office era lo que parecía un acuerdo comercial de confidencialidad para las tecnologías StarForce, un proveedor de soluciones de protección anticopia de software.
Check Point dice que la versión de Lazarus utilizada en esta campaña era una variante reciente conocida como KEYMARBLE, una herramienta de administración remota que permite a los atacantes realizar un reconocimiento y recuperar información de la máquina victimizada.
“Una vez ejecutado, realiza varias inicializaciones, se pone en contacto con un servidor C&C y espera indefinidamente nuevos comandos de él”, afirma la entrada del blog. “Cada comando recibido es procesado por la puerta trasera y manejado dentro de una función apropiada, que a su vez recoge una pieza de información o lleva a cabo una acción en la máquina objetivo.”
Con información de: Motril@Digital.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian