❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Hackers de Corea del Norte robaron datos de investigación en un prolongado ataque

Una nueva campaña de espionaje cibernético denominada ‘No Pineapple!’ se ha atribuido al grupo de hackers Lazarus de Corea del Norte. La campaña permitió a los atacantes robar sigilosamente 100 GB de datos de la víctima sin causar ninguna destrucción.

El ataque ocurrió entre agosto y noviembre de 2022 y estuvo dirigido a organizaciones de investigación médica, atención médica, ingeniería química, energía, defensa y una universidad líder en investigación.

La operación fue descubierta por la firma finlandesa de ciberseguridad  WithSecure, cuyos analistas fueron llamados para investigar un posible incidente de ransomware en uno de sus clientes. Sin embargo, gracias a un error operativo de Lazarus, pudieron vincular la campaña a la APT de Corea del Norte.

WithSecure pudo atribuir la actividad en función de múltiples pruebas, pero también notó algunos desarrollos nuevos para Lazarus, como:

  • El uso de nueva infraestructura utilizando direcciones IP sin nombres de dominio,
  • Una nueva versión del software malicioso ladrón de información Dtrack,
  • Una nueva versión del malware GREASE utilizado en la creación de cuentas de administrador y la evasión de protección.

La campaña lleva el nombre de “No Pineapple!” y fue posible detectarla gracias a un error generado por un malware de acceso remoto cuando envió datos robados a los servidores de los atacantes. 

Robando datos silenciosamente

Los hackers de Lazarus comprometieron la red de la víctima el 22 de agosto de 2022 al aprovechar las vulnerabilidades de Zimbra (ejecución remota de código) y CVE-2022-37042 (omisión de autenticación) para colocar una webshell en el servidor de correo del objetivo.

Esta vulnerabilidad de RCE se corrigió en mayo de 2022, pero la omisión de autenticación le tomó a Zimbra hasta el 12 de agosto para lanzar una actualización de seguridad. En ese momento, ya estaba bajo explotación activa por parte de los atacantes.

Después de vulnerar con éxito la red, los hackers implementaron las herramientas de tunelización ‘Plink’ y ‘3Proxy’ para crear túneles inversos de regreso a la infraestructura de los atacantes, lo que les permitió eludir el firewall.

Menos de una semana después, WithSecure dice que los intrusos comenzaron a utilizar secuencias de comandos modificadas para extraer aproximadamente 5 GB de mensajes de correo electrónico del servidor y guardarlos en un archivo CSV almacenado localmente. Posteriormente, la información fue enviada al servidor del atacante.

Durante los siguientes dos meses, los atacantes se propagaron lateralmente a través de la red, adquiriendo credenciales de administrador y robando datos de los dispositivos.

Mientras se propagaba por la red, Lazarus implementó varias herramientas personalizadas, como Dtrack y lo que se cree que es una nueva versión del malware GREASE. GREASE se utiliza para localizar cuentas de administrador de Windows.

Dtrack es una puerta trasera para robar información conocida por ser utilizada por Lazarus, mientras que el malware GREASE está asociado con Kimusky, otro grupo de hackers patrocinado por el estado de Corea del Norte.

Atribución del ataque

El ataque culminó el 5 de noviembre de 2022, con los actores acechando en la red durante más de dos meses y finalmente robando 100 GB de datos de la organización comprometida. 

WithSecure pudo analizar los patrones de trabajo de los actores de amenazas, afirmando que trabajaban de lunes a sábado de 9 a. m. a 10 p. m.

“El análisis de atribución de zona horaria concluyó que la zona horaria se alinea con UTC +9. Al revisar la actividad por hora del día se encuentra que la mayor parte de la actividad de los ciberdelincuentes ocurrió entre las 00:00 y las 15:00 UTC (09:00 y 21:00 UTC +9)”. 

“El análisis de la actividad por día de la semana sugiere que el actor de amenazas estuvo activo de lunes a sábado, un patrón de trabajo común para la RPDC”.

WithSecure
Horarios y días de trabajo de Lazarus en la campaña reciente

Nuevo malware y tácticas

El primer cambio notable encontrado en esta campaña de Lazarus es que ahora se basan únicamente en direcciones IP sin nombres de dominio para su infraestructura.

Este cambio tiene ventajas para los atacantes, incluida la reducción de la necesidad de mantenimiento de renovación y una mayor flexibilidad de IP.

La nueva  variante de Dtrack  detectada en los recientes ataques de Lazarus se instala mediante un ejecutable llamado ‘onedriver.exe’ y ya no usa su propio servidor de comando y control para la filtración de datos.

En cambio, se basa en una puerta trasera separada para transferir los datos que ha recopilado localmente en la máquina comprometida, almacenándolos en un archivo protegido con contraseña.

“El host de prueba y exfiltración probablemente fue elegido cuidadosamente por los atacantes para ser un host donde no se implementaron herramientas de monitoreo de seguridad de punto final”. 

El nuevo malware GREASE utilizado por Lazarus se ejecuta en el host como una DLL (“Ord.dll”) con mayores privilegios logrados mediante la explotación de la vulnerabilidad ‘PrintNightmare‘. Explicación de WithSecure en el informe.

Su principal diferencia en comparación con las versiones anteriores es que ahora usa RDPWrap para instalar un servicio RDP en el host para crear una cuenta de usuario privilegiada con la ayuda de comandos de usuario de red.

Expuesto por errores

Incluso para los atacantes altamente sofisticados como Lazarus, cometer errores no es raro. Y, en este caso, permitió que las campañas se atribuyeran al grupo de hackers.

La investigación de WithSecure de los registros de red recuperados de la víctima reveló que uno de los shells web colocados por los intrusos se comunicaba con una dirección IP de Corea del Norte (“175.45.176[.]27”).

Este incidente aislado ocurrió al comienzo de ese día, precedido por conexiones desde una dirección proxy, lo que indica que el atacante probablemente se expuso por un error al comienzo de su jornada laboral.

Además, WithSecure observó que varios comandos ejecutados en los dispositivos de red vulnerados eran muy similares a los codificados dentro del malware de Lazarus. No obstante, a menudo contenían errores y no se ejecutaban, lo que indica que los atacantes los estaban escribiendo manualmente usando el módulo ‘atexec’ de Impacket.

Además de los errores, WithSecure pudo vincular estas operaciones con Lazarus en función de las superposiciones de TTP detalladas en informes anteriores de Symantec y Cisco Talos, las cepas de malware empleadas, los perfiles de los objetivos, las superposiciones de infraestructura y el análisis de zona horaria.

El informe de WithSecure es otra indicación de la actividad de Lazarus, ya que el grupo de amenazas continúa con sus esfuerzos para recopilar inteligencia y filtrar grandes cantidades de datos de víctimas de alto perfil.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información