Hackers norcoreanos de Lazarus están atacando a proveedores de energía a nivel mundial

El grupo APT de Corea del Norte ‘Lazarus’ está explotando los servidores VMWare Horizon para acceder a las redes corporativas de los proveedores de energía en los Estados Unidos, Canadá y Japón.

Lazarus es un grupo de hackers respaldado por el estado conocido por realizar campañas de espionaje, robo de datos y robo de criptomonedas durante la última década. Los atacantes son responsables de cientos de ataques sofisticados a nivel internacional.

Según los investigadores de Cisco Talos, que descubrieron la última operación, Lazarus atacó a las organizaciones de energía entre febrero y julio de 2022, aprovechando las vulnerabilidades públicas de VMWare Horizon para el acceso inicial.

A partir de ahí, utilizaron familias de malware personalizadas como ‘VSingle’ y ‘YamaBot’. Además, utilizaron un troyano de acceso remoto (RAT) previamente desconocido llamado ‘MagicRAT’ para buscar y robar datos de dispositivos infectados.

Los investigadores de Symantec analizaron la misma campaña  en abril  y los investigadores de ASEC  en mayo. Sin embargo, el informe de Cisco va más allá para revelar muchos más detalles sobre la actividad del grupo.

Múltiples estrategias de ataque

Cisco Talos descubrió varias estrategias de ataque que ilustran las últimas técnicas, tácticas y procedimientos (TTP) de Lazarus y resaltan la versatilidad del sofisticado grupo de hacking.

En el primer caso, los hackers explotan los servidores VMWare vulnerables a las fallas de Log4Shell para ejecutar un código de shell que establece una shell inversa. Esta shell les permite ejecutar comandos arbitrarios en el punto final comprometido. 

Dado que VMWare Horizon se ejecuta con altos privilegios, Lazarus puede desactivar Windows Defender a través de modificaciones de clave de registro, WMIC y comandos de PowerShell antes de implementar VSingle.

La puerta trasera VSingle admite comandos de reconocimiento de red avanzados y prepara el terreno para robar credenciales. Además, crea nuevos usuarios administradores en el host y, finalmente, establece una conexión de shell inversa con el servidor de comando y control (C2) para obtener complementos que enriquecen su funcionalidad.

En el segundo caso presentado en el informe, que se refiere a una víctima diferente, el acceso inicial y el reconocimiento siguen patrones similares. No obstante, esta vez, los hackers instalaron MagicRAT junto con VSingle.

Talos publicó un artículo separado sobre MagicRAT ayer, detallando todas las funciones de este troyano nunca antes visto.

MagicRAT puede establecer la persistencia por sí solo mediante la ejecución de comandos codificados que crean las tareas programadas requeridas, ayudan en el reconocimiento del sistema y obtienen malware adicional de C2, como TigerRAT.

Más ataques

En el tercer caso de intrusión, Lazarus implementó YamaBot, un malware personalizado escrito en Go, que presenta capacidades RAT estándar como:

• Listar archivos y directorios.
• Descargar archivos desde ubicaciones remotas.
• Ejecutar comandos arbitrarios en los puntos finales.
• Autodesinstalarse

El CERT japonés vinculó a YamaBot con Lazarus en julio de 2022 , destacando sus capacidades de comunicación cifrada con C2.

La diversificación de la cadena de ataque de Lazarus no se limita a los payloads finales de malware, sino que se extiende a las herramientas de túnel inverso o proxy y a las técnicas de recolección de credenciales.

En algunos casos, los hackers emplearon las herramientas Mimikatz y Procdump. 

“En un caso, los atacantes intentaron obtener información de Active Directory en un punto final a través de cmdlets de PowerShell. Sin embargo, un día después, los atacantes utilizaron adfind.exe para extraer información similar en el mismo punto final”.

Informe de Cisco Talos. 

La idea detrás de estas variaciones es mezclar los TTP y hacer que la atribución, la detección y la defensa sean más desafiantes para los respondedores de incidentes.

Como se destaca en este informe, las empresas de ciberseguridad supervisan de cerca a Lazarus, por lo que no pueden darse el lujo de volverse perezosos al diversificar sus cadenas de ataque.

Esta diversificación en los ataques se ilustra en la amplia gama de ataques de Lazarus. Esto incluye su orientación a los solicitantes de empleo en el área informática, la creación de aplicaciones de comercio de criptomonedas falsas, la creación de  herramientas de desarrollo con troyanos, el uso de ransomware como señuelos y el robo masivo de 620 millones de dólares en criptomonedas del puente Ronin.