Corea del Norte se hace pasar por Meta para implementar una compleja puerta trasera en una organización aeroespacial

El Grupo Lazarus, patrocinado por el estado de Corea del Norte, parece haber agregado una nueva puerta trasera compleja y aún en evolución a su arsenal de malware, detectada por primera vez en un ciberataque exitoso de una compañía aeroespacial española.

Los investigadores de ESET que descubrieron el malware están rastreando la nueva amenaza como "LightlessCan" y creen que se basa en el código fuente del troyano de acceso remoto (RAT) BlindingCan, el buque insignia del grupo de amenazas.

Lazarus es un grupo de amenazas respaldado por el Estado de Corea del Norte con el que las organizaciones y los equipos de seguridad empresariales estadounidenses se han familiarizado a lo largo de los años. Desde que ganó amplia notoriedad por primera vez con un ataque devastador a Sony Pictures en 2014, el grupo Lazarus se ha establecido como uno de los grupos de amenazas persistentes avanzadas (APT) más perniciosos que están actualmente activos. A lo largo de los años, ha robado decenas de millones de dólares con ataques a bancos y otras instituciones financieras; terabytes exfiltrados de información confidencial de contratistas de defensa, agencias gubernamentales, Organizaciones sanitarias y empresas energéticas.; y ejecutó numerosos atracos de criptomonedas y ataques a la cadena de suministro.

Spear-Phishing como meta para el acceso inicial

El análisis de ESET del ataque a la empresa aeroespacial española mostró que los actores de Lazarus obtuvieron acceso inicial a través de una exitosa campaña de phishing dirigida a empleados específicos de la empresa. El actor de amenazas se hizo pasar por un reclutador de Meta, matriz de Facebook, y se puso en contacto con los desarrolladores de la empresa aeroespacial a través de LinkedIn Messaging.

Un empleado que fue engañado para que diera seguimiento al mensaje inicial recibió dos desafíos de codificación, supuestamente para comprobar el dominio del empleado en el lenguaje de programación C++. En realidad, los desafíos de codificación, alojados en una plataforma de almacenamiento en la nube de terceros, contenían ejecutables maliciosos que descargaban subrepticiamente cargas útiles adicionales en el sistema del empleado cuando intentaban resolver el desafío.

La primera de estas cargas útiles fue un descargador HTTPS que los investigadores de ESET denominaron NickelLoader. Básicamente, la herramienta permitió a los actores del grupo Lazarus implementar cualquier programa de su elección en la memoria del sistema comprometido. En este caso, el grupo Lazarus utilizó NickelLoader para lanzar dos RAT: una versión de función limitada de BlindingCan y la puerta trasera LightlessCan. La función de la versión simplificada de BlindingCan, que ESET ha denominado miniBlindingCan, es recopilar información del sistema, como el nombre de la computadora, la versión de Windows y datos de configuración, y también recibir y ejecutar comandos desde el servidor de comando y control (C2). .

Para las organizaciones a las que se dirige el grupo Lazarus, LightlessCan representa una nueva amenaza significativa, según el investigador de ESET Peter Kálnai escribió en una entrada de blog detallando el malware recién descubierto.

El diseño del malware ofrece a los actores del grupo Lazarus una forma de contener significativamente rastros de actividad maliciosa en los sistemas comprometidos, limitando así la capacidad de los controles de monitoreo en tiempo real y las herramientas forenses para detectarlos.

Una RATA que se esconde de las herramientas forenses y de monitoreo en tiempo real

LightlessCan integra soporte para hasta 68 comandos distintos, muchos de los cuales imitan los comandos nativos de Windows, como ping, ipconfig, systeminfo y net para recopilar información del sistema y del entorno. Sólo 43 de esos comandos son realmente funcionales en este momento; el resto son una especie de marcadores de posición que el actor de la amenaza presumiblemente hará completamente funcionales en algún momento posterior, lo que sugiere que la herramienta aún está en desarrollo. 

"El proyecto detrás de RAT se basa definitivamente en el código fuente de BlindingCan, ya que el orden de los comandos compartidos se conserva significativamente, aunque puede haber diferencias en su indexación", explicó Kálnai en la publicación del blog.

Sin embargo, LightlessCan parece ser significativamente más avanzado que BoundlessCan. Entre otras cosas, el nuevo troyano permite la ejecución de comandos nativos de Windows dentro del propio RAT. 

"Este enfoque ofrece una ventaja significativa en términos de sigilo, tanto para evadir soluciones de monitoreo en tiempo real como la detección y respuesta de puntos finales (EDR) como las herramientas forenses digitales post mortem", escribió Kálnai.

El actor de amenazas también ha manipulado LightlessCan de tal manera que su carga útil cifrada solo se puede descifrar utilizando una clave de descifrado que sea específica de la máquina comprometida. El objetivo es garantizar que el descifrado de la carga útil solo sea posible en los sistemas de destino y no en ningún otro entorno. Kálnai señaló: como un sistema que pertenece a un investigador de seguridad.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace