Por Ismael Rocha: Una amenaza persistente avanzada (APT) trabaja para acceder a redes y sistemas informáticos sin ser detectada ni advertida. Estas amenazas, a veces ejecutadas por un Estado-nación o un grupo patrocinado por un Estado, pueden robar información privada y secreta, dañar los sistemas informáticos e interrumpir el funcionamiento de sistemas vitales. Defenderse de las amenazas persistentes avanzadas es una tarea difícil, ya que actúan con sigilo y sus intrusiones pueden ser difíciles de reconocer.
Brasil es un país con una gran variedad de sectores económicos, tales como: educación/investigación, financiero, salud, gobierno/militar, comercio minorista, energía, comunicación, tecnología, entre otros. Estos sectores mueven grandes cantidades de dinero para gobiernos y organizaciones, despertando consecuentemente el interés de grupos de amenazas avanzadas. Así, es posible constatar el gran aumento de los ciberataques con fines de lucro, acceso a archivos secretos y confidenciales o perturbación del país por parte de los ciberdelincuentes.
El grupo de piratas informáticos conocido como Lazarus Group es una amenaza avanzada que utiliza técnicas sofisticadas para comprometer redes y sistemas informáticos. Emplean diversas técnicas de pirateo, como malware personalizado, ataques de phishing, ingeniería social y explotación de vulnerabilidades de seguridad. A continuación se describen algunas de las técnicas más utilizadas:
- Malware personalizado, el grupo es conocido por desarrollar su propio malware para utilizarlo en sus ataques. Han creado varias familias de malware, como la puerta trasera Manuscrypt, el troyano Fallchill y el ransomware WannaCry.
- También utilizan los ataques de phishing para engañar a las víctimas y conseguir que hagan clic en enlaces maliciosos o descarguen archivos infectados. Los correos electrónicos de phishing pueden parecer legítimos y a menudo incluyen un enlace o archivo adjunto que, al hacer clic en él o descargarlo, instala malware en el ordenador de la víctima.
- Ingeniería social, Lazarus es conocido por utilizar técnicas de ingeniería social para obtener acceso a los sistemas de las víctimas. Esto puede incluir el uso de falsos pretextos para obtener información sensible como contraseñas y nombres de usuario.
- Explotación de vulnerabilidades de seguridad, es bien conocido por explotar vulnerabilidades de seguridad conocidas en sistemas y software para obtener acceso no autorizado a redes y sistemas informáticos.
Entre los objetivos del grupo Lazarus se encuentran gobiernos, empresas y organizaciones de todo el mundo, de diversos sectores como las finanzas, la energía, las criptomonedas y los medios de comunicación. Las motivaciones del grupo pueden variar, pero en general buscan obtener información confidencial y financiera en beneficio propio o con fines políticos.
Modo de funcionamiento del Grupo Lazarus
La cadena de ataques de amenazas avanzadas del Grupo Lazarus suele constar de varios pasos, entre los que se incluyen:
- Reconocimiento - El grupo recaba información sobre el objetivo mediante técnicas de ingeniería social, como el phishing, y recopilando información disponible públicamente en Internet.
- Entrega - Tras identificar a sus objetivos, el grupo utiliza diversas técnicas para entregar su carga maliciosa, como el phishing, la ingeniería social y la explotación de vulnerabilidades en sistemas obsoletos.
- Explotación - Una vez que la carga maliciosa se entrega con éxito, el grupo utiliza técnicas de explotación para obtener acceso al sistema del objetivo. Esto puede implicar la explotación de vulnerabilidades de software conocidas, el uso de puertas traseras previamente instaladas u otros métodos.
- Propagación - Dentro del sistema, el grupo se propaga a otros dispositivos y sistemas de la red del objetivo para garantizar un acceso persistente y maximizar el impacto del ataque.
- Robo de información - El objetivo principal del Grupo Lazarus es robar información sensible, como propiedad intelectual, secretos comerciales, datos personales e información financiera. El grupo utiliza técnicas avanzadas de espionaje para robar esta información y transferirla a sus servidores de mando y control.
- Acciones maliciosas - El grupo puede realizar otras acciones maliciosas como instalar puertas traseras, crear cuentas de usuario con privilegios elevados y exfiltrar datos para mantener el acceso y seguir robando información.
En resumen, el Grupo Lazarus es un grupo muy sofisticado que utiliza una amplia gama de técnicas para llevar a cabo sus ciberataques. La cadena de ataque puede variar en función del objetivo específico y del tipo de información que el grupo intenta robar, pero en general, estos pasos son comunes a muchos de los ataques del grupo.
Principales objetivos del grupo
Es importante señalar que se sabe que el grupo Lazarus tiene como objetivo organizaciones de todo el mundo, y que esta lista de países no es exhaustiva. Las motivaciones del grupo pueden variar, pero en general buscan obtener información confidencial y financiera para su propio beneficio o con fines políticos. Las empresas y organizaciones deben tomar medidas para proteger sus redes y sistemas contra los ciberataques, independientemente de su ubicación geográfica.
Técnicas utilizadas en los ataques
Se sabe que Lazarus Group utiliza diversas herramientas de malware y técnicas de pirateo en sus ataques, entre ellas:
- Puertas traseras - Para mantener un acceso persistente a sistemas comprometidos.
- RAT (troyanos de acceso remoto) - Para controlar remotamente sistemas comprometidos.
- Keyloggers - Para robar información de inicio de sesión y otra información confidencial.
- Malware bancario - Para robar información financiera y realizar transferencias fraudulentas.
- Spear-phishing - Para hacer llegar su malware a los objetivos.
- Malware personalizado: Lazarus Group es conocido por crear su propio malware personalizado, incluido el malware Destover utilizado en el ataque a Sony Pictures de 2014.
- Zero-days - El grupo también es conocido por utilizar vulnerabilidades de día cero en sus ataques, que son vulnerabilidades de software desconocidas que aún no han sido parcheadas por los fabricantes.
El grupo es muy sofisticado y está en constante evolución, por lo que es probable que esté utilizando nuevas herramientas y técnicas que aún no han sido identificadas por los investigadores de seguridad.
TTPs - MITRE ATT&CK
| Tácticas | Técnica | Detalles |
| Evasión de la defensa Escalada de privilegios | T1134 | El keylogger del grupo Lazarus, KiloAlfa, obtiene tokens de usuario de sesiones interactivas para ejecutarse con la llamada a la API CreateProcessAsUserAs bajo el contexto de ese usuario. |
| Descubrimiento | T1087 | Consultar los servidores de directorio activo de la víctima comprometida para obtener la lista de empleados, incluidas las cuentas de administrador. |
| Persistencia | T1098 | El malware del grupo Lazarus, WhiskeyDelta-Two, contiene una función que intenta cambiar el nombre de la cuenta del administrador. |
| Desarrollo de recursos | T1583 | Adquirió dominios relacionados con sus campañas para que actuaran como puntos de distribución y canales C2. |
| Recogida de credenciales de acceso | T1557 | Ejecutó Responder utilizando el comando[ruta del archivo Responder] -i[dirección IP] -rPve un host comprometido para recopilar credenciales y moverse lateralmente. |
| Mando y control | T1071 | Realización de C2 a través de HTTP y HTTPS. |
| Colección | T1560 | Comprimió los datos exfiltrados con RAR y utilizó el malware RomeoDelta para archivar directorios específicos en formato .zip, cifrar el archivo .zip y enviarlo a C2. |
| Escalada de privilegios de persistencia | T1547 | Mantenía la persistencia cargando código malicioso en una carpeta de inicio o añadiendo una clave. |
| Acceso con credenciales | T1110 | El malware Lazarus Group intenta conectarse a recursos compartidos de Windows para realizar movimientos laterales utilizando una lista generada de nombres de usuario, que se centran en permutaciones del nombre de usuario Administrador y contraseñas débiles. |
| Ejecución | T1059 | Uso de PowerShell para ejecutar comandos y código malicioso. |
| Escalada de privilegios de persistencia | T1543 | Varias familias de malware del grupo Lazarus se instalan como nuevos servicios. |
| Impacto | T1485 | Uso de una función personalizada de borrado seguro para sobrescribir el contenido de los archivos con datos de la memoria de montón. |
| Colección | T1005 | Recogida de datos y archivos de redes comprometidas. |
| Mando y control | T1001 | Utiliza una forma única de cifrado de comunicaciones conocida como FakeTLS, que imita TLS pero utiliza un método de cifrado diferente, evitando potencialmente la inspección/descifrado del tráfico SSL. |
| Defensa Evasión | T1140 | Uso de shellcode dentro de macros para desencriptar manualmente y asignar DLL y shellcode a la memoria en tiempo de ejecución. |
Indicadores de compromiso (IOC)
ISH Technology realiza el tratamiento de varios indicadores de compromisos recogidos a través de fuentes abiertas, fuentes cerradas y también a partir de análisis realizados por el equipo de seguridad de Heimdall. En vista de ello, a continuación enumeramos todos los Indicadores de Compromisos (IOC) relacionados con el análisis del artefacto o artefactos de este informe.
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | aac5a52b939f3fe792726a13ff7a1747 |
| sha1: | f6760fb1f8b019af2304ea6410001b63a1809f1d |
| sha256: | cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a |
| Nombre del fichero: | sysnetd |
| Indicadores de compromiso de artefactomalicioso/analizado | |
| md5: | 2ff1688fe866ec2871169197f9d46936 |
| sha1: | 6dc37ff32ea70cbd0078f1881a351a0a4748d10e |
| sha256: | b05aae59b3c1d024b19c88448811debef1eada2f51761a5c41e70da3db7615a9 |
| Nombre del fichero: | 524100.exe |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 38fc56965dccd18f39f8a945f6ebc439 |
| sha1: | 50736517491396015afdf1239017b9abd16a3ce9 |
| sha256: | 32ec329301aa4547b4ef4800159940feb950785f1ab68d85a14d363e0ff2bc11 |
| Nombre del fichero: | sdchange.exe |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 5c0c1b4c3b1cfd455ac05ace994aed4b |
| sha1: | 69cda1f1adeeed455b519f9cf188e7787b5efa07 |
| sha256: | 8a1d57ee05d29a730864299376b830a7e127f089e500e148d96d0868b7c5b520 |
| Nombre del fichero: | provthrd.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | d2da675a8adfef9d0c146154084fff62 |
| sha1: | c55d080ea24e542397bbbfa00edc6402ec1c902c |
| sha256: | f8f7720785f7e75bd6407ac2acd63f90ab6c2907d3619162dc41a8ffa40a5d03 |
| Nombre del fichero: | d2da675a8adfef9d0c146154084fff62.virus |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | f315be41d9765d69ad60f0b4d29e4300 |
| sha1: | f60c2bd78436a14e35a7e85feccb319d3cc040eb |
| sha256: | fe43bc385b30796f5e2d94dfa720903c70e66bc91dfdcfb2f3986a1fea3fe8c5 |
| Nombre del fichero: | xwtpdui.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 37505b6ff02a679e70885ccd60c13f3b |
| sha1: | 6402fafa0864460fea18a83ec4885bfe179734b2 |
| sha256: | 2fc71184be22ed1b504b75d7bde6e46caac0bf63a913e7a74c3b65157f9bf1df |
| Nombre del fichero: | Binance_Guía (1).doc |
URL de distribución y direcciones IP de C2:
| 109[.]248[.]150[.]13 |
| 192[.]186[.]183[.]133 |
| 54[.]68[.]42[.]4 |
| 84[.]38[.]133[.]145 |
| 104[.]155[.]149[.]103 |
| 40[.]121[.]90[.]194 |
| 185[.]29[.]8[.]162 |
| 46[.]183[.]221[.]109 |
| 84[.]38[.]133[.]145 |
Nota: Los enlaces y direcciones IP listados arriba pueden estar activos. Tenga cuidado al manipular estos IoC, evite hacer clic y convertirse en víctima del contenido malicioso alojado en el IoC.
Cómo protegerse del Grupo Lazarus
Además de los indicadores de peligro enumerados anteriormente, pueden adoptarse medidas para mitigar la amenaza, como:
- Mantén el software al día, asegúrate de que todos tus sistemas operativos, aplicaciones y programas tienen las últimas versiones y aplica regularmente las actualizaciones de seguridad puestas a disposición por los proveedores. Esto ayuda a parchear vulnerabilidades conocidas y a reducir la superficie de ataque.
- Utilice una solución antivirus fiable, instale y mantenga actualizado un software antivirus robusto en todos sus dispositivos. Esto le ayudará a detectar y eliminar programas maliciosos, incluidos los utilizados por el Grupo Lazarus.
- Refuerce las contraseñas, utilice contraseñas fuertes y únicas para todas sus cuentas y evite reutilizarlas. Considera la posibilidad de utilizar gestores de contraseñas que te ayuden a recordar y proteger tus credenciales.
- Tenga cuidado con el phishing, el Grupo Lazarus utiliza a menudo correos electrónicos de phishing para distribuir malware. Por lo tanto, tenga cuidado al abrir archivos adjuntos o hacer clic en enlaces de correos electrónicos sospechosos. Verifique siempre la autenticidad de los remitentes antes de facilitar información confidencial.
- Utilice la autenticación de doble factor (2FA), active la autenticación de doble factor siempre que sea posible, ya que añade una capa adicional de seguridad al requerir una segunda forma de autenticación además de la contraseña, como un código enviado a su dispositivo móvil.
- Realice copias de seguridad periódicas de sus datos importantes y asegúrese de que están almacenados en lugares seguros y fuera del alcance de los ciberataques. Esto ayudará a minimizar los daños causados por los ataques de ransomware o la pérdida de datos.
- Eduque a los usuarios, fórmese a sí mismo y a su personal sobre las mejores prácticas de ciberseguridad, como reconocer los signos de un ataque de phishing, evitar la descarga de archivos sospechosos y mantener la precaución al navegar por Internet.
- Supervise las actividades sospechosas, esté atento a cualquier actividad inusual en sus sistemas, como comportamientos anómalos o tráfico de red sospechoso. Utilice herramientas de supervisión y detección de intrusos para identificar posibles amenazas.
- Establezca una política de seguridad, aplique políticas de seguridad claras y estrictas en su organización. Esto incluye restricciones de acceso a información sensible, uso de dispositivos personales y directrices para hacer frente a incidentes de seguridad.
Referencias
- Heimdall de ISH Technology
- Mandiant
- Malwarebytes
- thehackernews