La red criminal patrocinada por el estado de Corea del Norte, Lazarus, está detrás de una nueva campaña de ciberespionaje con el objetivo de robar datos y secretos comerciales de los proveedores de energía en los EE. UU., Canadá y Japón, según Cisco Talos.
El Grupo Lazarus , más conocido por los infames ataques WannaCry y una tonelada de robos de criptomonedas. Ahora va tras los problemáticos mercados energéticos dirigidos por sus enemigos.
Los investigadores de amenazas de Talos dicen que observaron actividad maliciosa atribuida a Lazarus Group entre febrero y julio.
Todas las intrusiones comienzan con los secuaces cibernéticos de Kim Jong-un que explotan las vulnerabilidades de Log4j en VMware Horizon, nos dicen. Después de violar las redes de las empresas de energía, los malhechores implementan uno o más de los tres implantes de malware personalizados.
Los dos primeros, VSingle y YamaBot, han sido atribuidos a Lazarus por el equipo de respuesta a emergencias informáticas (CERT) de Japón.
VSingle ejecuta código arbitrario desde una red remota y puede descargar y ejecutar complementos. Lazarus habría usado el malware personalizado para una variedad de propósitos nefastos, incluidos el reconocimiento, la exfiltración y la puerta trasera manual.
Mientras tanto, YamaBot es un implante personalizado escrito en Golang que se comunica con servidores de comando y control mediante solicitudes HTTP.
El tercer implante es un troyano de acceso remoto (RAT) previamente desconocido que descubrió Talos, llamado “MagicRAT” y se ha atribuido a Lazarus.
Los cazadores de amenazas también sugieren qu, una vez implementado en las máquinas de las víctimas, MagicRAT lanza cargas útiles adicionales, incluidos escáneres de puertos personalizados.
Después de implementar los implantes, los espías norcoreanos realizan todo tipo de actos maliciosos para reforzar el régimen de Kim, según la investigación de Talos.
Esto incluye esfuerzos de reconocimiento más generales, así como moverse lateralmente a través de las redes de las compañías de energía, robar las credenciales de los empleados y extraer datos.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Aplicaciones de Android Plagadas de Malware detectadas en Google Play Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!
