Lazarus Group ataca a las empresas de logística: Las fallas en la logística global de carga pueden tener graves consecuencias. Ya sea digital o analógico: las fallas son particularmente complicadas para la logística de carga global. Esto se demostró recientemente con el bloqueo del Canal de Suez por parte del buque portacontenedores "Ever Given".
Los investigadores de ESET ahora han descubierto una puerta trasera previamente desconocida utilizada en un ataque a una empresa de logística de carga en Sudáfrica. El notorio grupo Lazarus está detrás del malware. Para ello, los expertos en seguridad del fabricante europeo de seguridad informática han descubierto similitudes con operaciones y procedimientos anteriores del grupo de hackers.
Backdoor Vyveva tiene capacidades de espionaje
La puerta trasera, llamada Vyveva, posee múltiples funciones de espionaje, como recopilar información en la computadora objetivo y reenviarla a las computadoras Lazarus. También habría sido posible una interrupción de los sistemas informáticos. El spyware se comunica con su servidor Command & Control (C&C) a través de la red Tor. Los investigadores de ESET ahora han publicado sus resultados en WeliveSecurity.
“Vyveva comparte muchas similitudes de código con muestras anteriores de Lazarus. Además, el uso de un protocolo TLS falso en la comunicación de red, el encadenamiento de líneas de comando y la forma en que se usan los servicios de encriptación y Tor apuntan al grupo APT. Por lo tanto, podemos atribuir la puerta trasera al grupo Lazarus con una alta probabilidad”, dice Filip Jurčacko, el investigador de ESET que analizó a Vyveva.
Investigadores de ESET sospechan ataque dirigido
Las investigaciones realizadas por el fabricante europeo de seguridad informática indican que Vyveva se utilizó de forma específica. Los investigadores de ESET solo pudieron encontrar las computadoras de dos víctimas, que son servidores de una empresa de logística sudafricana. El análisis de los investigadores de ESET reveló que Vyveva ha estado en uso desde al menos diciembre de 2018.
Comunicación a través de la red Tor
La puerta trasera ejecuta comandos emitidos por el grupo de piratería, como la recopilación de datos confidenciales. También hay un comando para cambiar las marcas de tiempo en los archivos. Vyveva se comunica con el servidor C&C a través de la red Tor y lo contacta en intervalos de tres minutos. El spyware envía información sobre la computadora afectada y sus unidades. Aquí se utilizan los llamados perros guardianes, que envían un mensaje al servidor C&C cuando se realizan ciertos cambios en el sistema infectado.
“Particularmente interesantes son los perros guardianes especiales de puerta trasera que monitorean las unidades recién conectadas y desconectadas. También hay un perro guardián que monitorea el número de sesiones activas. Esto puede ser, por ejemplo, el número de usuarios registrados. Estos componentes pueden desencadenar una conexión con el servidor de C&C fuera del intervalo regular preconfigurado de tres minutos”, explica Jurčacko.
Más en WeLiveSecurity en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.