La operación de amenaza persistente avanzada (APT) de Lazarus, que se ha relacionado con el gobierno de Corea del Norte, golpeó a los contratistas aeroespaciales y de defensa en todo el mundo en una campaña en la que los actores de amenazas abusaron de las redes sociales y las plataformas de mensajería para acceder a los empleados en sus objetivos.
Según ESET Research, que presentó los hallazgos de su investigación en la Conferencia Mundial de ESET, el grupo abusó de LinkedIn y WhatsApp haciéndose pasar por reclutadores para acercarse a los empleados desprevenidos en sus objetivos, generando confianza antes de entregar componentes maliciosos disfrazados de descripciones de trabajo o aplicaciones. formularios
La campaña está vinculada a una serie anterior de ataques, denominada Operación In(ter)caption, por un grupo vinculado a Lazarus en 2020, que utilizó técnicas similares para atacar organizaciones en Brasil, Chequia, Qatar, Turquía y Ucrania.
La campaña comenzó en el otoño de 2021 y duró hasta marzo de 2022, con operaciones en Francia, Alemania, Italia, Países Bajos, Polonia, España, Ucrania y Brasil.
ESET evalúa que la intención de Lazarus era realizar espionaje y robar fondos, que es el modus operandi habitual de los actores de amenazas que trabajan para el régimen indigente de Corea del Norte. Afortunadamente, dijeron, la campaña no tuvo mucho éxito.
Sin embargo, Lazarus mostró algo de ingenio en su campaña, dijo Jean-Ian Boutin, director de investigación de amenazas de ESET, quien describió cómo el grupo implementó un conjunto de herramientas que incluía un componente de modo de usuario que podía explotar un controlador Dell ya vulnerable para escribir en la memoria del núcleo.
“Este truco avanzado se usó en un intento de eludir el monitoreo de las soluciones de seguridad”, dijo Boutin.
ESET dijo que estaba bastante claro que la operación estaba orientada principalmente a atacar a contratistas europeos, pero al rastrear la cantidad de subgrupos que ejecutaban campañas similares, pudieron establecer que, de hecho, era mucho más amplia que eso, y aunque los tipos de malware utilizado a menudo difería, el atractivo inicial, la promesa de un nuevo trabajo que nunca existió, permaneció igual en todo momento, tal vez reflejando cuán efectiva es la técnica.
Los investigadores dijeron que era particularmente notable que Lazarus estaba agregando elementos de campaña de contratación que uno podría considerar más legítimos, como hacer acercamientos a través de LinkedIn, algo con lo que la mayoría de los empleados de oficina pueden identificarse. El uso de servicios de mensajería como WhatsApp o Slack le dio más legitimidad a la campaña.
Boutin dijo que estaba claro que las empresas y los civiles ya no son las víctimas más comunes de los ataques maliciosos, sino que el sector público y los contratistas vinculados estaban en un riesgo mucho mayor, con los resultados de una intrusión exitosa potencialmente mucho más graves.
Como ya se ha señalado, uno de los principales motivos de Lazarus es reunir fondos vitales para el régimen de Corea del Norte y, con este fin, gran parte de su actividad se centra en la extorsión o el robo. Últimamente, se ha centrado particularmente en el reino de las criptomonedas, que se encuentra fuera de la jurisdicción del sistema financiero global hasta cierto punto.
A principios de este año, Blender.io, un mezclador de criptomonedas acusado de ayudar a Lazarus a lavar fondos robados, fue sancionado por el Departamento del Tesoro de EE. UU.
Se cree que Lazarus canalizó 20,5 millones de dólares de dinero a través de Blender.io, que robó de cuentas pirateadas pertenecientes a jugadores del juego multijugador basado en fichas no fungibles Axie Infinity.
En un ataque de marzo de 2022 contra el creador del juego, Sky Mavis, se robaron USD 600 millones en criptomonedas.
