APT Group Lazarus apunta a empresas de defensa. El malware 'ThreatNeedle' también ataca redes restringidas sin acceso a Internet.
Los investigadores de Kaspersky han identificado una nueva campaña previamente desconocida del actor de amenazas avanzadas Lazarus. Desde principios de 2020, ha estado apuntando a empresas de la industria de defensa con la puerta trasera personalizada 'ThreatNeedle'. La puerta trasera se mueve lateralmente a través de las redes infectadas y recopila información confidencial. Lazarus puede robar datos tanto de TI como de redes restringidas.
Grupo Lazarus activo desde 2009
Lazarus es un actor de amenazas prolífico que ha estado activo desde al menos 2009. El grupo es conocido por sus campañas de ciberespionaje y ransomware a gran escala, así como por sus ataques al mercado de las criptomonedas. También se han identificado ataques actuales en relación con Covid-19 y la investigación de vacunas. Si bien Lazarus se ha centrado en las instituciones financieras en años anteriores, desde principios de 2020 la industria de defensa parece haber sido el centro de las actividades.
Incidente de puerta trasera expone ThreatNeedle
Los investigadores de Kaspersky se dieron cuenta por primera vez de esta nueva campaña cuando fueron llamados para respaldar una respuesta a incidentes. Tras el análisis, quedó claro que la organización había sido víctima de una puerta trasera personalizada, un tipo de malware que permite el control remoto total del dispositivo. Apodada ThreatNeedle, esta puerta trasera se mueve lateralmente a través de las redes infectadas y extrae información confidencial. Hasta el momento, organizaciones en más de una docena de países se han visto afectadas. Kaspersky descubrió numerosos hosts de Europa, América del Norte, Medio Oriente y Asia que se habían conectado a la infraestructura del atacante.
Esquema y enfoque de infección de ThreatNeedle
La infección inicial se produce a través de correos electrónicos de phishing selectivo que contienen un archivo adjunto de Word malicioso o un enlace a uno alojado en servidores corporativos. Los correos electrónicos, a menudo disfrazados de actualizaciones urgentes relacionadas con la pandemia de coronavirus, supuestamente provenían de un centro médico de confianza.
Si se abre el documento malicioso, el malware se ejecuta y pasa a la siguiente etapa del proceso de entrega. El malware ThreatNeedle utilizado pertenece a la familia de malware 'Manuscrypt', atribuido al grupo Lazarus y utilizado anteriormente en ataques contra empresas de criptomonedas. Una vez instalado, ThreatNeedle obtiene control total sobre el dispositivo de la víctima, desde la edición de archivos hasta la ejecución de los comandos recibidos.
Robo de datos de las redes informáticas de la oficina
Usando ThreatNeedle, Lazarus puede robar datos de las redes de TI de la oficina (una red de computadoras con acceso a Internet) y una red restringida de una planta o instalación (una red de recursos críticos para el negocio y computadoras con datos altamente confidenciales y bases de datos sin acceso a Internet) . De acuerdo con las políticas de las empresas atacadas, no se puede transmitir información entre estas dos redes. Sin embargo, los administradores pueden conectarse a cualquiera de las redes para el mantenimiento del sistema. Lazarus pudo tomar el control de las estaciones de trabajo de los administradores y configurar una puerta de enlace maliciosa para atacar la red restringida y robar y extraer datos confidenciales de allí.
Lea más en el canal ICS de Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/