El infame actor de Lazarus Group se ha centrado en las versiones vulnerables de los servidores de Microsoft Internet Information Services ( IIS ) como una ruta de infracción inicial para implementar malware en los sistemas objetivo.
Los hallazgos provienen del Centro de respuesta de emergencia de seguridad AhnLab (ASEC), que detalló el abuso continuo de la amenaza persistente avanzada (APT) de las técnicas de carga lateral de DLL para ejecutar cargas útiles arbitrarias.
«El actor de la amenaza coloca una DLL maliciosa (msvcr100.dll) en la misma ruta de la carpeta que una aplicación normal (Wordconv.exe) a través del proceso del servidor web Windows IIS, w3wp.exe», explicó ASEC . «Luego ejecutan la aplicación normal para iniciar la ejecución de la DLL maliciosa».
La carga lateral de DLL , similar al secuestro de orden de búsqueda de DLL, se refiere a la ejecución de proxy de una DLL no autorizada a través de un binario benigno plantado en el mismo directorio.
Lazarus , un grupo de estado-nación altamente capaz e implacable vinculado a Corea del Norte, fue visto más recientemente aprovechando la misma técnica en relación con el ataque en cascada a la cadena de suministro contra el proveedor de servicios de comunicaciones empresariales 3CX.
La biblioteca maliciosa msvcr100.dll, por su parte, está diseñada para descifrar una carga útil codificada que luego se ejecuta en la memoria. Se dice que el malware es una variante de un artefacto similar que fue descubierto por ASEC el año pasado y que actuó como una puerta trasera para comunicarse con un servidor controlado por un actor.
La cadena de ataque implicó además la explotación de un complemento Notepad ++ de código abierto descontinuado llamado Quick Color Picker para entregar malware adicional para facilitar el robo de credenciales y el movimiento lateral.
El último desarrollo demuestra la diversidad de los ataques de Lazarus y su capacidad para emplear un amplio conjunto de herramientas contra las víctimas para llevar a cabo operaciones de espionaje a largo plazo.
«En particular, dado que el grupo de amenazas utiliza principalmente la técnica de carga lateral de DLL durante sus infiltraciones iniciales, las empresas deben monitorear de manera proactiva las relaciones de ejecución de procesos anormales y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como la exfiltración de información y el movimiento lateral. dijo ASEC.
El Tesoro de EE. UU. sanciona a entidades de Corea del Norte
Los hallazgos también se producen cuando el Departamento del Tesoro de EE. UU. sancionó a cuatro entidades y una persona involucrada en actividades cibernéticas maliciosas y esquemas de recaudación de fondos que tienen como objetivo apoyar las prioridades estratégicas de Corea del Norte.
Esto incluye la Universidad de Automatización de Pyongyang, la Oficina de Reconocimiento Técnico y su unidad cibernética subordinada, el Centro de Investigación 110, la Compañía de Cooperación de Tecnología de la Información de Chinyong y un ciudadano norcoreano llamado Kim Sang Man.
Se cree que el Grupo Lazarus y sus diversos grupos son operados por la Oficina de Reconocimiento Técnico, que supervisa el desarrollo de tácticas y herramientas cibernéticas ofensivas de Corea del Norte.
Se sabe que la nación afectada por las sanciones, además de participar en operaciones de espionaje y robo de criptomonedas, genera ingresos ilícitos de una fuerza laboral de trabajadores de TI calificados que se hacen pasar por identidades ficticias para obtener empleos en los sectores de tecnología y moneda virtual en todo el mundo.
«La RPDC lleva a cabo actividades cibernéticas maliciosas y despliega trabajadores de tecnología de la información (TI) que obtienen empleo de manera fraudulenta para generar ingresos, incluso en moneda virtual, para apoyar al régimen de Kim y sus prioridades, como sus programas ilegales de armas de destrucción masiva y misiles balísticos, «, dijo el departamento .
«Estos trabajadores ofuscan deliberadamente sus identidades, ubicaciones y nacionalidades, por lo general utilizando personas falsas, cuentas de proxy, identidades robadas y documentación falsificada o falsificada para solicitar puestos de trabajo en estas empresas».
«Ganan cientos de millones de dólares al año al participar en una amplia gama de trabajos de desarrollo de TI, incluidas plataformas de trabajo independientes (sitios web/aplicaciones) y desarrollo de criptomonedas, después de obtener contratos de trabajo independientes de empresas de todo el mundo», dijo el gobierno de Corea del Sur. advertido en diciembre de 2022.
Fuente y redacción: thehackernews.com