Lazarus Group y su nueva estrategia con malware sofisticado
El grupo de hackers norcoreano conocido como Lazarus Group ha adoptado una estrategia más avanzada al incorporar un nuevo tipo de malware, considerado «sofisticado», en sus actividades relacionadas con estafas de empleo ficticio. Los expertos en ciberseguridad alertan sobre la mayor dificultad para detectar este nuevo malware en comparación con sus versiones anteriores.
De acuerdo con un artículo publicado el 29 de septiembre por Peter Kálnai, un investigador senior en malware de ESET, mientras analizaban un reciente ataque de falsos empleos dirigido a una empresa aeroespacial española, los investigadores de ESET identificaron una puerta trasera previamente no documentada de manera pública, denominada LightlessCan.
Este desarrollo evidencia la evolución continua de las tácticas y herramientas empleadas por Lazarus Group. La introducción de un malware más sofisticado y difícil de detectar plantea desafíos adicionales para la ciberseguridad. La adaptabilidad y la capacidad de innovación de grupos como Lazarus resaltan la importancia de mantenerse a la vanguardia en materia de seguridad cibernética para contrarrestar estas amenazas en constante evolución. Las empresas y organizaciones deben estar alerta y reforzar sus medidas de protección para hacer frente a estos ataques cada vez más elaborados.
La operación fraudulenta de empleo falsificado perpetrada por el grupo Lazarus generalmente involucra la artimaña de persuadir a las víctimas con la promesa de oportunidades laborales en empresas reconocidas. Los atacantes solían engañar a las personas para que descargaran un contenido malicioso que se disfrazaba como documentos legítimos, con el objetivo de infligir daños diversos.
Sin embargo, según la evaluación de Kálnai, el nuevo elemento malicioso denominado LightlessCan representa un «avance considerable» en comparación con su predecesor, BlindingCan.
Mayor sofisticación y sigilo
LightlessCan emula las capacidades de diversos comandos nativos de Windows, lo que le permite operar de manera sigilosa en el contexto de la propia RAT (Remote Access Trojan), en lugar de realizar acciones evidentes en una ventana de consola.
Este enfoque confiere una ventaja notable en cuanto a discreción, tanto para eludir sistemas de monitoreo en tiempo real, como las soluciones de Detección y Respuesta a Eventos de Seguridad (EDR, por sus siglas en inglés), como para evadir herramientas de análisis forense digital que se utilizan después del evento.
El uso de estas técnicas avanzadas por parte de LightlessCan demuestra una vez más la ingeniosidad de los ciberdelincuentes en su constante búsqueda de evadir la detección y maximizar los daños. El sigilo y la camuflaje son elementos cruciales en el arsenal de los atacantes, y las organizaciones deben estar en constante mejora de sus estrategias de seguridad para contrarrestar estas amenazas.
La nueva «carga útil» (payload) también hace uso de lo que el investigador denomina «barreras de seguridad de ejecución», que aseguran que la carga útil solo pueda descifrarse en la máquina de la víctima designada, evitando así que los investigadores de seguridad la descifren de manera inadvertida.
Kálnai detalló que uno de los incidentes en los que se empleó este nuevo malware ocurrió en el contexto de un ataque dirigido a una empresa aeroespacial en España, cuando un empleado recibió un mensaje de un falso reclutador que se hacía pasar por un empleado de Meta llamado Steve Dawson, durante el año 2022.
Barreras de seguridad y ataques exitosos
Posteriormente, los piratas informáticos enviaron dos desafíos de codificación relativamente simples como parte de la carga útil maliciosa. Estos detalles añaden un nivel adicional de sofisticación a las tácticas utilizadas por el grupo Lazarus, destacando su habilidad para engañar a las víctimas y llevar a cabo ataques cibernéticos con éxito.
El ataque perpetrado por el grupo Lazarus a una empresa aeroespacial con sede en España estuvo motivado principalmente por ciberespionaje. Este grupo norcoreano ha estado activo desde 2016 y ha logrado apropiarse de aproximadamente USD 3,500 millones de proyectos relacionados con criptomonedas, según un informe emitido el 14 de septiembre por la firma forense de blockchain Chainalysis.
En septiembre de 2022, la empresa de ciberseguridad SentinelOne emitió una advertencia sobre una estafa de empleo falsa que circulaba en LinkedIn. En dicha estafa, se ofrecían supuestos puestos de trabajo en Crypto.com como parte de una campaña conocida como «Operación Trabajo Soñado». Este tipo de tácticas demuestra la adaptabilidad y la evolución constante de los métodos utilizados por Lazarus Group para engañar a sus víctimas y ejecutar exitosamente sus ataques.
Mientras tanto, las Naciones Unidas han estado trabajando para contrarrestar las tácticas de ciberdelincuencia llevadas a cabo por Corea del Norte a nivel internacional. Se ha observado que Corea del Norte utiliza los fondos robados para financiar su programa de desarrollo de misiles nucleares, lo que ha generado preocupación en la comunidad internacional debido a las implicaciones de seguridad global que conlleva.
Puedes seguir toda la actualidad diaria en nuestra sección de noticias.