El notorio actor de APT, Lazarus, está ampliando sus ataques y ahora tiene como objetivo empresas en Europa, incluidas Alemania y Suiza. Los expertos de Kaspersky pudieron identificar ataques con la puerta trasera DTrack en dos empresas alemanas de procesamiento y fabricación de productos químicos y una en una empresa suiza de procesamiento de productos químicos.
Lazarus ha estado activo desde al menos 2009 y ha sido culpado por ciberespionaje, cibersabotaje y ataques de ransomware. Inicialmente, el grupo se centró en implementar lo que parecía ser una agenda geopolítica centrada principalmente en Corea del Sur. Sin embargo, se ha movido a objetivos globales y también ha comenzado a lanzar ataques para obtener ganancias financieras.
Actualmente, los ataques también están dirigidos a empresas en Europa. Los expertos de Kaspersky pudieron identificar dos ataques en Alemania en los que se utilizó DTrack como puerta trasera: uno en una empresa de procesamiento químico y otro en la fabricación. Además, se pudo identificar un ataque a una empresa suiza de procesamiento químico.
DTrack de puerta trasera modificado
El DTrack de puerta trasera se descubrió originalmente en 2019 [3] y no ha cambiado significativamente con el tiempo. DTrack se esconde en un archivo ejecutable que parece un programa legítimo. Hay varias etapas de descifrado antes de que comience la carga del malware. Lo que es nuevo es una tercera capa adicional de cifrado que se ha agregado en algunas de las nuevas muestras de malware.
El análisis de Kaspersky muestra que Lazarus usa la puerta trasera para una variedad de ataques destinados a obtener ganancias financieras. Permite a los ciberdelincuentes cargar, descargar, iniciar o eliminar archivos en el host de la víctima. Uno de los archivos descargados y ejecutados, que ya se ha visto como parte del conjunto de herramientas habitual de DTrack, es un registrador de teclas, así como un creador de capturas de pantalla y un módulo para recopilar información del sistema de la víctima. En general, este conjunto de herramientas puede ayudar a los ciberdelincuentes a realizar movimientos laterales en la infraestructura de las víctimas, por ejemplo, para recuperar información.
Dirigido a KRITIS, escuelas, investigación
Según la telemetría de KSN, DTrack está activo en Alemania, Brasil, India, Italia, México, Suiza, Arabia Saudita, Turquía y EE. UU. Lázaro amplía así el círculo de sus víctimas. Las empresas objetivo incluyen partes de la infraestructura crítica, como instituciones educativas, empresas de procesamiento químico, centros de investigación gubernamentales y departamentos gubernamentales, proveedores de servicios de TI, servicios públicos y telecomunicaciones.
"Lazarus todavía utiliza activamente DTrack", explica Jornt van der Wiel, investigador de seguridad en el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. “Los cambios realizados en la forma en que se empaqueta el malware muestran que Lazarus aún otorga un gran valor a DTrack. Aún así, Lazarus no ha cambiado mucho desde 2019, cuando se descubrió originalmente. Sin embargo, el análisis de la victimología muestra que las operaciones se han expandido a Europa, una tendencia que estamos viendo con más frecuencia”.
Más en Kasperky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/