Lazarus Group desató un MagicRAT para espiar a las empresa de energía

La red criminal patrocinada por el estado de Corea del Norte, Lazarus Group, está detrás de una nueva campaña de ciberespionaje con el objetivo de robar datos y secretos comerciales de los proveedores de energía en los EE. UU., Canadá y Japón, según Cisco Talos.

El Grupo Lazarus es quizás mejor conocido por los infames ataques WannaCry y una tonelada de robo de criptomonedas. Ahora va tras los problemáticos mercados energéticos dirigidos por sus enemigos. 

En una investigación publicada , los investigadores de amenazas de Talos dicen que observaron actividad maliciosa atribuida a Lazarus Group entre febrero y julio. Las campañas de reconocimiento y espionaje se dirigieron a “múltiples víctimas”, escribieron los investigadores Jung soo An, Asheer Malhotra y Vitor Ventura . 

Todas las intrusiones comienzan con los secuaces cibernéticos de Kim Jong-un que explotan las vulnerabilidades de Log4j en VMware Horizon, nos dicen. Después de violar las redes de las empresas de energía, los malhechores implementan uno o más de los tres implantes de malware personalizados. 

Los dos primeros, VSingle y YamaBot , han sido atribuidos a Lazarus por el equipo de respuesta a emergencias informáticas (CERT) de Japón.

VSingle ejecuta código arbitrario desde una red remota y puede descargar y ejecutar complementos. En esta campaña, Lazarus Group usó el malware personalizado para una variedad de propósitos nefastos, incluidos el reconocimiento, la exfiltración y la puerta trasera manual, según Talos.

Mientras tanto, YamaBot es un implante personalizado escrito en Golang que se comunica con servidores de comando y control mediante solicitudes HTTP.

El tercer implante es un troyano de acceso remoto (RAT) previamente desconocido que descubrió Talos, llamado “MagicRAT” y atribuido a Lazarus Group. 

“Si bien es una capacidad RAT relativamente simple, se creó con el recurso Qt Framework , con la única intención de hacer que el análisis humano sea más difícil y la detección automatizada a través del aprendizaje automático y la heurística sea menos probable”, escribieron los investigadores de Talos en un blog publicado a principios de esta semana. 

Los cazadores de amenazas también sugieren que, una vez implementado en las máquinas de las víctimas, MagicRAT lanza cargas útiles adicionales, incluidos escáneres de puertos personalizados.

Después de implementar los implantes, los espías norcoreanos realizan todo tipo de actos maliciosos para reforzar el régimen de Kim, según la investigación de Talos. Esto incluye esfuerzos de reconocimiento más generales, así como moverse lateralmente a través de las redes de las compañías de energía, robar las credenciales de los empleados y extraer datos.

El hecho de que esta campaña esté dirigida a los proveedores de energía es especialmente preocupante ya que los costos de la energía se dispararon debido a la guerra en Ucrania, alcanzando un estado de crisis en Europa. Pero, de nuevo, Pyongyang nunca ha rehuido explotar una catástrofe global, o una vulnerabilidad de software, para obtener ganancias financieras.

En julio, el Tío Sam ofreció una recompensa de 10 millones de dólares por información sobre miembros de grupos de amenaza de Corea del Norte patrocinados por el estado, incluido Lazarus, el doble de la cantidad que el Departamento de Estado de EE. UU. anunció en abril.

También en abril, los federales atribuyeron el atraco de $620 millones de Axie Infinity a Lazarus Group de Corea del Norte, y manipularon la dirección de la billetera de escape de la pandilla. 

Y unos meses más tarde, los investigadores de un equipo de análisis de blockchain vincularon el robo de criptomonedas de Harmony de $ 100 millones con los matones cibernéticos de Kim Jong-un.

Los #goles de Kim

Estos ataques cibernéticos en los intercambios de criptomonedas y las instituciones financieras ayudan a financiar los programas nucleares y de misiles balísticos de Corea del Norte y respaldan los tres objetivos principales declarados por el país : causar interrupciones, realizar ciberespionaje y recaudar dinero.

Y esta última campaña contra las empresas de energía también se ajusta a estos objetivos más amplios.

“El objetivo principal de estos ataques era probablemente establecer un acceso a largo plazo a las redes de las víctimas para realizar operaciones de espionaje en apoyo de los objetivos del gobierno de Corea del Norte”, escribieron An, Malhotra y Ventura. “Esta actividad se alinea con las intrusiones históricas de Lazarus dirigidas a empresas de infraestructura y energía críticas para establecer acceso a largo plazo para desviar la propiedad intelectual patentada”.

También es similar a la campaña de ransomware de Maui utilizada contra las organizaciones de atención médica de EE. UU. a principios de este año que Kaspersky luego atribuyó a Andariel, una amenaza patrocinada por el estado de Corea del Norte con vínculos con el notorio Grupo Lazarus.

La “diferencia crítica” entre los dos, según Talos, es el malware. “Si bien Kaspersky descubrió el uso de Dtrack y Maui, hemos observado el uso de VSingle, YamaBot y MagicRAT”, señalaron los analistas.

Fuente: https://www.theregister.com/2022/09/08/lazarus_group_energy_firms_trade_secrets/