Vyveva: Nuevo Malware Personalizado en el Kit de Herramientas de Lazarus

Expertos de ESET han descubierto una nueva muestra maliciosa utilizada por Lazarus APT para atacar a una empresa de transporte sudafricana no identificada. El malware, denominado Vyveva, obtiene impresionantes capacidades de puerta trasera, que son utilizadas por el actor financiado por la nación para reconocimiento y ciberespionaje.

Descripción general de la puerta trasera Vyveva

Vyveva es una amenaza personalizada empleada por el grupo patrocinado por el estado de Corea del Norte en operaciones altamente dirigidas. Hasta la fecha, los expertos en seguridad han podido detectar solo un par de casos de víctimas, ambos relacionados con el ciberataque contra la empresa de transporte en verano de 2020. Sin embargo, el análisis muestra que el malware ha sido utilizado en campañas de Lazarus desde finales de 2018. Además, comparte muchas líneas de código con la familia NukeSped, otra amenaza en el arsenal del grupo, lo que permite a los expertos atribuir Vyveva a adversarios de Corea del Norte.

ESET detalla que la puerta trasera Vyveva consta de tres elementos principales: instalador, cargador y carga útil maliciosa. El método de intrusión inicial aún no se ha explorado, sin embargo, los profesionales de la seguridad sugieren la existencia de un dropper malicioso secreto. El instalador es responsable de la persistencia del cargador y coloca la carga útil predeterminada en el registro. Además, el componente de carga descifra la carga útil con un algoritmo de descifrado XOR, para que esté lista para realizar una serie de funciones maliciosas.

Según los investigadores, Vyveva es capaz de ejecutar 23 comandos, incluyendo exfiltración de archivos, volcado de datos, ejecución arbitraria de código y alteración de marcas de tiempo. Aunque la mayoría de las funciones son típicas, algunas en la lista son capaces de realizar tareas sofisticadas. Por ejemplo, la opción de alteración de marcas de tiempo permite copiar metadatos de tiempo desde un archivo legítimo. Y el comando de carga de archivos es capaz de exfiltrar directorios y admitir filtrado de extensiones de archivos. Notablemente, los comandos pueden ser lanzados de forma asíncrona y ejecutados en hilos separados.

Detección de la puerta trasera Vyveva

Para detectar la actividad maliciosa asociada con la nueva herramienta de Lazarus, puedes descargar una regla Sigma comunitaria de nuestro prolífico desarrollador de Threat Bounty Kyaw Pyiyt Htet:

https://tdm.socprime.com/tdm/info/HKO3ESP3ZBoF

La regla tiene traducciones a las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,

EDR: Sentinel One

MITRE ATT&CK:

Tácticas: Ejecución, Exfiltración, Evasión de defensas

Técnicas: Ejecución a través de API (T0871), Exfiltración a través del canal de mando y control (T1041), Suplantación (T1036)

Además, puedes asegurar tu defensa proactiva contra las intrusiones de Lazarus revisando la lista completa de detecciones personalizadas disponible en el Mercado de Detección de Amenazas.

Obtén una suscripción gratuita al Mercado de Detección de Amenazas, una plataforma líder mundial de Contenido como Servicio (CaaS) que ayuda a los equipos de SecOps a avanzar en su análisis de seguridad y resistir ciberataques en las primeras etapas de su ciclo de vida. ¿Quieres monetizar tus habilidades de caza de amenazas y contribuir a la primera biblioteca de contenido SOC de la industria? ¡Únete a nuestro Programa de Recompensas de Amenazas!

Ir a la Plataforma Únete a Threat Bounty