Lazarus APT Resurfaces to Exploit Windows Update and GitHub

[post-views]
febrero 03, 2022 · 4 min de lectura
Lazarus APT Resurfaces to Exploit Windows Update and GitHub

Un mes en 2022, no hay una caída previsible en los ataques; por el contrario, el campo de la ciberseguridad está en pleno apogeo. El panorama es familiar: hackers al acecho y practicantes de seguridad trabajando incansablemente para asegurar que no haya descanso para los primeros.

A finales de enero, una nueva campaña de ataque, lanzada por un APT vinculado a Corea del Norte, fue descubierta por el equipo de Inteligencia de Amenazas de Malwarebytes. Esta vez, el actor patrocinado por el estado utiliza el servicio de Windows Update para distribuir malware y aprovecha GitHub como un servidor de comando y control.

HIDDEN COBRA

El Grupo Lazarus es una organización de hackers notoria patrocinada por el gobierno de Corea del Norte. Esta banda ha estado en el radar desde al menos 2009 y se sospecha que está detrás de varias campañas de alto perfil, incluyendo ciberataques, ciberespionaje y ataques de ransomware.

El programa cibernético de Corea del Norte representa una amenaza persistente de espionaje, robo y ataques, al proporcionar un apoyo sustancial a numerosos grupos cibernéticos maliciosos. Para eliminar cualquier error de denominación en el vasto campo de actividades delictivas cibernéticas patrocinadas por el gobierno de Corea del Norte, es importante indicar que el Grupo Lazarus es conocido bajo muchos nombres, algunos de los cuales, como Andariel, Kimsuky, APT37, APT38, se relacionan con subgrupos, y un nombre paraguas HIDDEN COBRA se utiliza para referirse en general a la actividad cibernética maliciosa llevada a cabo por el estado norcoreano.

Los métodos más utilizados por la banda son la difusión de malware, vulnerabilidades de día cero, spear phishing, desinformación y puertas traseras.

La Cadena de Ataque Más Reciente

Las instancias más recientes de ataques de Lazarus se informaron el 18 de enero de 2022. Sin embargo, hay datos que sugieren que la campaña estuvo en operación desde finales de 2021. Esta vez, el Grupo Lazarus apunta a explotar Windows Update y GitHub para eludir las detecciones. Para infectar PCs con malware, el ataque comienza con la implementación de macros maliciosas implantadas en el documento de Word. Más precisamente, los datos actuales sugieren el uso por parte de los actores de amenaza de dos documentos con macros integradas, atrayendo a los usuarios con nuevas oportunidades de trabajo en Lockheed Martin, una corporación global:

Lockheed_Martin_JobOpportunities.docx

Salary_Lockheed_Martin_job_opportunities_confidential.doc

Cuando la víctima abre un archivo armado, el malware ejecuta una serie de inyecciones para ganar persistencia de inicio en el dispositivo objetivo: una macro incrustada coloca un archivo WindowsUpdateConf.lnk en la carpeta de inicio y un archivo DLL (wuaueng.dll) en la carpeta Windows/System32.

El DDL malicioso se ejecuta luego usando el Cliente de Windows Update para evitar la detección. Otra técnica destinada a permanecer bajo el radar de seguridad es la adopción de GitHub para la comunicación de C2.

Detectando el Último Ataque de Lazarus

Para identificar posibles ataques y remediar el compromiso de spear phishing novel de Lazarus, opte por descargar un lote de reglas Sigma gratuitas. El contenido fue lanzado por nuestros desarrolladores de recompensa de amenazas Nattatorn Chuensangarun and Onur Atali.

Lazarus APT Ejecuta los Macros Maliciosos a través de la creación de procesos

Campaña de Lazarus APT en GitHub de Corea del Norte a través de eventos de archivo

Lazarus APT aprovecha el Cliente de Windows Update, GitHub a través de eventos de archivo

La lista completa de detecciones relacionadas con Lazarus APT en el repositorio Threat Detection Marketplace de la plataforma SOC Prime está disponible aquí.

Regístrese gratis en la plataforma Detection as Code de SOC Prime para detectar las últimas amenazas dentro de su entorno de seguridad, mejorar la fuente de registro y la cobertura de MITRE ATT&CK, y en general potenciar las capacidades de defensa cibernética de la organización. ¿Ansioso por crear sus propias reglas Sigma? Únase a nuestro programa Threat Bounty y sea recompensado por su valiosa contribución.

Ir a la Plataforma Únase a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias