Los hackers de Lazarus Group se dirigen a expertos en defensa con entrevistas falsas a través de aplicaciones VNC troyanizadas

0

Los hackers de Lazarus Group están atacando a expertos en defensa mediante entrevistas falsas a través de aplicaciones VNC troyanizadas

Lazarus Group está atacando sistemas Linux mediante el troyano Dacls

El grupo Lazarus, asociado a Corea del Norte y también conocido como Hidden Cobra o TEMP.Hermit, ha sido detectado utilizando versiones manipuladas de aplicaciones de Virtual Network Computing (VNC) como cebos para atacar a la industria de defensa e ingenieros nucleares en el marco de una campaña de larga duración denominada Operación Dream Job.

«El actor de amenazas engaña a personas que buscan empleo en redes sociales para que abran aplicaciones maliciosas en entrevistas de trabajo ficticias», según señala Kaspersky en su informe de tendencias de APT para el tercer trimestre de 2023.

«Para eludir la detección por parte de soluciones de seguridad basadas en el comportamiento, esta aplicación con puerta trasera opera de manera discreta, activándose únicamente cuando el usuario selecciona un servidor en el menú desplegable del cliente VNC manipulado».

Una vez activada por la víctima, la aplicación falsa está diseñada para recuperar componentes adicionales, incluyendo un malware reconocido del grupo Lazarus denominado LPEClient, que posee capacidades para perfilar hosts comprometidos.

El atacante también implementa una versión actualizada de COPPERHEDGE, una puerta trasera conocida por ejecutar comandos arbitrarios, llevar a cabo reconocimiento del sistema y extraer datos, además de un malware personalizado destinado específicamente a transmitir archivos de interés a un servidor remoto.

Los objetivos de la última campaña incluyen empresas directamente relacionadas con la fabricación de productos de defensa, como sistemas de radar, vehículos aéreos no tripulados (UAVs), vehículos militares, barcos, armamento y compañías marítimas.

Operación Dream Job hace referencia a una serie de ataques orquestados por el grupo de piratería norcoreano, en los cuales los posibles objetivos son contactados a través de cuentas sospechosas en varias plataformas, como LinkedIn, Telegram y WhatsApp, bajo el pretexto de ofrecer oportunidades laborales atractivas con el fin de engañarlos para que instalen malware.

A finales del mes pasado, ESET reveló detalles de un ataque del grupo Lazarus dirigido a una empresa aeroespacial no nombrada en España, en el que empleados de la firma fueron abordados por el actor de amenazas que se hacía pasar por un reclutador de Meta en LinkedIn para entregar un implante llamado LightlessCan.

El grupo Lazarus es solo uno de los varios programas ofensivos originarios de Corea del Norte que se han relacionado con actividades de espionaje cibernético y robos con motivación financiera.

Otro destacado grupo de piratería es APT37, también conocido como ScarCruft, que forma parte del Ministerio de Seguridad del Estado, a diferencia de otros grupos de actividad amenazante, como APT43, Kimsuky y el grupo Lazarus (y sus subgrupos Andariel y BlueNoroff), que están afiliados a la Oficina General de Reconocimiento (RGB).

«A pesar de que distintos grupos de amenazas comparten herramientas y código, la actividad amenazante norcoreana sigue adaptándose y cambiando para crear malware personalizado para diferentes plataformas, incluyendo Linux y macOS», reveló Mandiant, propiedad de Google, a principios de este mes, resaltando su evolución en términos de adaptabilidad y complejidad.

ScarCruft, según Kaspersky, atacó a una empresa comercial vinculada a Rusia y Corea del Norte utilizando una novedosa cadena de ataque de phishing que culminó con la entrega del malware RokRAT, también conocido como BlueLight, enfatizando los continuos intentos del reino ermitaño de dirigirse a Rusia.

Además, otro cambio notable es la superposición de infraestructura, herramientas y objetivos entre varios grupos de piratería norcoreanos, como Andariel, APT38, el grupo Lazarus y APT43, lo que complica los esfuerzos de atribución y apunta a una racionalización de las actividades adversarias.

Esto también ha venido acompañado de un «incremento en el interés por desarrollar malware para macOS para acceder a plataformas de alto valor en las industrias de criptomonedas y blockchain», según Mandiant.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *