Lazarus desató un MagicRAT para espiar a los proveedores de energía

La red criminal patrocinada por el estado de Corea del Norte, Lazarus, está detrás de una nueva campaña de ciberespionaje con el objetivo de robar datos y secretos comerciales de los proveedores de energía en los EE. UU., Canadá y Japón, según Cisco Talos.

El Grupo Lazarus , más conocido por los infames ataques WannaCry y una tonelada de robos de criptomonedas. Ahora va tras los problemáticos mercados energéticos dirigidos por sus enemigos.

Los investigadores de amenazas de Talos dicen que observaron actividad maliciosa atribuida a Lazarus Group entre febrero y julio.

Todas las intrusiones comienzan con los secuaces cibernéticos de Kim Jong-un que explotan las vulnerabilidades de Log4j en VMware Horizon, nos dicen. Después de violar las redes de las empresas de energía, los malhechores implementan uno o más de los tres implantes de malware personalizados.

Los dos primeros, VSingle y YamaBot, han sido atribuidos a Lazarus por el equipo de respuesta a emergencias informáticas (CERT) de Japón.

VSingle ejecuta código arbitrario desde una red remota y puede descargar y ejecutar complementos. Lazarus habría usado el malware personalizado para una variedad de propósitos nefastos, incluidos el reconocimiento, la exfiltración y la puerta trasera manual.

Mientras tanto, YamaBot es un implante personalizado escrito en Golang que se comunica con servidores de comando y control mediante solicitudes HTTP.

El tercer implante es un troyano de acceso remoto (RAT) previamente desconocido que descubrió Talos, llamado “MagicRAT” y se ha atribuido a Lazarus.

Los cazadores de amenazas también sugieren qu, una vez implementado en las máquinas de las víctimas, MagicRAT lanza cargas útiles adicionales, incluidos escáneres de puertos personalizados.

Después de implementar los implantes, los espías norcoreanos realizan todo tipo de actos maliciosos para reforzar el régimen de Kim, según la investigación de Talos.

Esto incluye esfuerzos de reconocimiento más generales, así como moverse lateralmente a través de las redes de las compañías de energía, robar las credenciales de los empleados y extraer datos.

Relacionados

Deja un comentario