El Grupo Lazarus Ataca Industrias Manufactureras y Eléctricas en Europa
Tabla de contenidos:
El infame grupo APT Lazarus (también conocido como HiddenCobra, APT37) fue nuevamente observado agitando el mundo de la ciberseguridad. Esta vez, los analistas de seguridad revelaron una campaña de ciberespionaje altamente dirigida a grandes empresas de manufactura e industria eléctrica en Europa.
Conjunto de Herramientas y Escenario de Ataque de Lazarus
El vector de ataque inicial utilizado por los hackers de Lazarus fue similar al utilizado en Operación North Star dirigida contra contratistas de defensa y aeroespaciales. En particular, los ciberdelincuentes desarrollaron tácticas integrales de ingeniería social en LinkedIn para atraer a las víctimas. Los atacantes se hicieron pasar por legítimos gerentes de recursos humanos de importantes empresas internacionales para ganarse la confianza y convencer a los empleados de abrir archivos adjuntos de spear-phishing en los dispositivos corporativos. En caso de ejecutarse, documentos maliciosos de Word o archivos ISO soltaban un paquete de malware en las redes objetivo para brindar a los hackers la capacidad de moverse lateralmente y realizar un reconocimiento interno. En la mayoría de los casos, los actores de la amenaza utilizaron una versión personalizada de Mimikatz para la extracción de credenciales junto con exploits conocidos (por ejemplo, EternalBlue) para obtener persistencia y escalar sus privilegios. Luego, los atacantes desplegaban BLINDINGCAN/DRATzarus RAT para buscar datos sensibles. Los hackers de Lazarus exfiltraron información sensible a través de una compleja infraestructura de C&C basada en sitios web comprometidos, lo que permitió a los miembros de APT evadir la detección. Notablemente, la mayoría de los sitios web fueron abusados mediante exploits públicos. Como los investigadores de seguridad concluyen, la campaña fue bastante duradera (febrero-noviembre de 2020) y particularmente orientada al ciberespionaje, ya que no se causó daño directo a las redes comprometidas.
Contenido de Detección para el Ataque de Lazarus
Emir Erdogan desarrolló una regla exclusiva de Sigma para la detección de la última campaña de APT Lazarus, que ya está disponible en el Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Persistencia
Técnica: Claves de Registro de Ejecución / Carpeta de Inicio (T1060)
Resumen del Grupo Lazarus
El grupo norcoreano Lazarus es conocido como uno de los actores más prolíficos, tanto en términos de campañas motivadas financieramente como de ataques políticamente orientados en favor del gobierno de Kim Jong-un. El grupo ha estado activo desde 2009, detrás de incidentes de ciberseguridad tan importantes como la brecha de seguridad de 2014 en Sony Pictures, el robo bancario de 2016 contra el Banco Central de Bangladesh, y el ataque de WannaCry en 2017. 2020 también fue fructífero para Lazarus. Los hackers estuvieron involucrados en una lucrativa campaña contra intercambios de criptomonedas, operaciones de ciberespionaje dirigidas a importantes empresas internacionales y ataques dirigidos contra compañías farmacéuticas que desarrollan vacunas contra el COVID-19.
¿Busca el mejor contenido SOC compatible con sus soluciones de seguridad? Obtenga una suscripción gratuita a nuestro Threat Detection Marketplace. ¿Disfruta codificando y quiere contribuir a las iniciativas de caza de amenazas? Únase al Threat Bounty Program de SOC Prime para un futuro más seguro!
