El Grupo de Hackers Lazarus Cambia de Objetivos y Aplica Técnicas Avanzadas en una Nueva Campaña DeathNote
Tabla de contenidos:
El notorio colectivo de hackers norcoreanos Grupo Lazarus, también rastreado como APT38, Dark Seoul o Hidden Cobra, ha ganado su reputación como actores de amenaza respaldados por la nación, apuntando principalmente a empresas de criptomonedas. En la recién descubierta campaña maliciosa denominada DeathNote, los adversarios están cambiando su enfoque al centrar principalmente su atención en las organizaciones de defensa junto con los sectores automotriz y académico.
Detectando la Campaña DeathNote por el Escuadrón de Hackers Lazarus
Habiendo estado en el centro de atención en el ámbito de amenazas cibernéticas desde 2009, los hackers de Lazarus están constantemente desafiando a los defensores cibernéticos con nuevas amenazas y capacidades ofensivas mejoradas. En la última campaña DeathNote, los experimentos del grupo con nuevos objetivos y el uso de herramientas y técnicas más sofisticadas requieren una ultra-respuesta de las fuerzas defensivas. Para ayudar a las organizaciones a identificar oportunamente la actividad adversaria en su infraestructura, SOC Prime ha lanzado recientemente una nueva regla Sigma escrita por nuestro diligente desarrollador de Threat Bounty, Emre Ay:
Esta regla Sigma detecta la última actividad del Grupo APT Lazarus que intenta acceder a la política predeterminada del controlador de dominio para descubrir información sobre el sistema comprometido. La detección está alineada con el último marco MITRE ATT&CK® v12 abordando la táctica de Descubrimiento y la técnica correspondiente de Descubrimiento de Políticas de Grupo (T1615). Para garantizar la compatibilidad entre herramientas, la regla puede ser traducida instantáneamente a más de 20 soluciones SIEM, EDR, XDR y BDP.
Los profesionales de la ciberseguridad que buscan maneras de monetizar sus ideas de detección y búsqueda pueden aprovechar el poder de nuestro Programa de Recompensas de Amenazas para compartir sus propias reglas Sigma con los pares de la industria y contribuir a la experiencia colectiva mientras convierten sus habilidades en beneficios financieros.
Debido a los altos volúmenes de ataques atribuidos al colectivo de hackers Lazarus y a su kit de herramientas adversario en constante evolución, las organizaciones progresivas están esforzándose por fortalecer sus capacidades de defensa cibernética y detectar proactivamente amenazas relacionadas. Al hacer clic en el botón Explorar Detecciones a continuación, los defensores pueden acceder de inmediato a la lista completa de reglas Sigma para la detección de actividad del Grupo Lazarus. Todos los algoritmos de detección están enriquecidos con CTI, enlaces ATT&CK, binarios ejecutables y más metadatos relevantes para una investigación de amenazas simplificada.
Análisis de Ataques del Grupo Hacker Lazarus: Qué Hay Detrás de la Campaña DeathNote
El infame actor de amenazas norcoreano está evolucionando rápidamente su kit de herramientas y estrategias relacionadas con la duradera campaña DeathNote. La última investigación revela que Lazarus cambia de empresas relacionadas con criptomonedas a contratistas de defensa, instituciones académicas y empresas automotrices, expandiendo significativamente la lista de potenciales víctimas.
El clúster DeathNote, también rastreado como NukeSped u Operación Dream Job, implica explotar oportunidades de trabajo falsas para engañar a las víctimas a seguir enlaces dañinos o hacer clic en archivos infectados, resultando en el despliegue de malware de espionaje. El lanzamiento inicial de la campaña se remonta a 2019-2020, concentrándose inicialmente en los jugadores del mercado de criptomonedas. Se registraron picos de actividad de DeathNote en agosto de 2020 y julio de 2021, cambiando el área de interés de los hackers al gobierno, la defensa y los sectores de ingeniería. Según las observaciones más recientes, los expertos en seguridad estiman que los países de Europa del Este están ahora bajo ataque, con todos los documentos señuelo y descripciones de trabajo relacionadas con contratistas de defensa y entidades diplomáticas siendo renovados por Lazarus.
El vector de criptomonedas de la actividad de Lazarus típicamente sigue la misma rutina maliciosa. El grupo de hackers se basa en los cebos temáticos de minería de Bitcoin para lanzar documentos con macros y activar el backdoor Manuscrypt en las instancias comprometidas.
Los sectores automotriz y académico son atacados mediante una estrategia ligeramente diferente vinculada a una campaña más amplia contra la industria de defensa por parte de Lazarus. Tales ataques frecuentemente terminan con los implantes BLINGCAN y COPPERHEDGE siendo desplegados en las máquinas de las víctimas.
La cadena de ataque alternativa vinculada a DeathNote depende de una app de lector de PDF legítima llamada SumatraPDF para continuar con actividades maliciosas adicionales. El abuso de software legítimo se ha registrado en ataques contra organizaciones en Letonia y Corea del Sur, lo que lleva a la entrega de puertas traseras y ladrones de información. Es un método de ataque ampliamente utilizado por el actor patrocinado por el estado, con un historial comprobado en capacidades de cadena de suministro. Por ejemplo, Lazarus ha sido culpado por un ataque contra el proveedor de servicios VoIP empresarial 3CX revelado en marzo de 2023.
Los crecientes volúmenes de ciberataques por parte del infame grupo APT Lazarus respaldado por el estado y su creciente sofisticación requieren una ultra-respuesta de los defensores cibernéticos. Confíe en SOC Prime para estar completamente equipado con contenido de detección que aborde herramientas y ataques relacionados con APT. Obtenga acceso a más de 1000 reglas para detectar comportamientos asociados con actores patrocinados por el estado. Obtenga 200+ reglas Sigma gratis en https://socprime.com/ o acceda a la lista completa de algoritmos de detección relevantes eligiendo la suscripción On Demand, adaptada a sus necesidades de seguridad en https://my.socprime.com/pricing.
