Lazaurs lanza una nueva campaña maliciosa distribuida a través de 'software' de certificación legítimo

Un grupo de investigadores ha descubierto que el grupo de ciberdelincuentes Lazarus ha lanzado una nueva campaña maliciosa con la que ha aprovechado las vulnerabilidades conocidas de un 'software' legítimo para cargar 'malware'. El Equipo de Investigación y Análisis de Kaspersky (GReAT) ha identificado varios actores maliciosos que empleaban un sistema diseñado para cifrar la comunicación web a través de certificados digitales para acceder a los datos de las víctimas. Más concretamente, han explicado que el grupo criminal Lazarus llevó a cabo una sofisticada campaña de amenazas persistentes avanzadas (APT) distribuida a través de 'malware' y dicho 'software' legítimo. Con ello, han indicado que, a pesar de que se notificaron y parchearon las vulnerabilidades de este sistema, algunas organizaciones de todo el mundo continuaron empleando la versión afectada de este programa, "lo que se ha convertido en una puerta abierta para Lazarus", según un comunicado de Kaspersky. Esta compañía ha matizado que tras llevar a cabo una investigación que comenzó a principios de este año, descubrió que Lazarus había explotado esa falla en varias ocasiones y que el objetivo de los ciberdelincuentes erarobar código fuente valiosos o alterar la cadena de suministro de 'software'. Para ello, este grupo cibercriminal empleó LPEClient, una herramienta conocida por la elaboración de perfiles de víctimas y por distribuir carga útil maliciosa que ya se había registrado en anteriores ataques en el sector de la defensa y las criptomonedas. Kaspersky ha revelado que descubrió la campaña maliciosa del grupo de ciberdelincuentes norcoreandos en julio de 2023, cuando detectó una serie de ataques a varias víctimas poseedoras de este 'software' de certificación legítimo. Si bien se desconoce la manera en que los atacantes se aprovecharon de este 'software' para distribuir el 'malware', advirtió carga maliciosa de SIGNBT acompañado de un código shell, responsable de iniciar un archivo ejecutable de Windows directamente en la memoria. Con ello, Lazarus podía distribuir carga maliciosa con cada inicio del sistema o realizar cargas laterales en archivos legítimos ejecutables, "lo que garantiza aún más un mecanismo de persistencia resistente", según el equipo de analistas. Para crear el este archivo malicioso, identificado como ualapi.dll, los ciberdelincuentes utilizaron un código fuente público conocido como Shareaza Torrent Wizard, al que le inyectaron funciones maliciosas específicas. Finalmente, desde la compañía de ciberseguridad han comentado que el grupo Lazarus sigue siendo "un actor de amenazas muy activo y versátil" en el panorama actual de la ciberseguridad, puesto que ha demostrado "un profundo conocimiento de los entornos de TI2 y ha perfeccionado sus tácticas para explotar vulnerabilidades en 'software' legítimo de alto perfil.