La compañía Kaspersky estuvo investigando el clúster DeathNote perteneciente al grupo norcoreano cibercriminal Lazarus.
Lazarus comenzó con ataques a empresas relacionadas con criptodivisas en 2019, y ha evolucionado en sus técnicas y procedimientos a lo largo de los años. A finales de 2022, era responsable de campañas que afectaban a empresas de TI y compañías de defensa en Europa, América Latina, Corea del Sur y África.
Según el último informe de la actividad delictiva de este grupo, realizado por Kaspersky, se rastreó un cambio en los objetivos del clúster DeathNote, así como el desarrollo y perfeccionamiento de sus herramientas, técnicas y procedimientos durante los últimos cuatro años.
El grupo Lazarus lleva mucho tiempo atacando empresas relacionadas con las criptomonedas, sin embargo, durante el seguimiento a sus actividades, se observó que utilizaron un malware bastante diferente en un caso.
Historial de ataques
Año 2019
A mediados de octubre de 2019, se encontró un documento sospechoso subido a VirusTotal. El autor del malware utilizó documentos señuelo que estaban relacionados con el negocio de las criptodivisas. Dichos documentos incluyen un cuestionario sobre la compra de criptomonedas, una introducción a una criptodivisa en particular y una introducción a una empresa de minería de bitcoins.
Esta fue la primera vez que entró en juego la campaña DeathNote, dirigida a personas y empresas relacionadas con la criptodivisa en Chipre, Estados Unidos, Taiwán y Hong Kong.
Año 2020
En el año 2020, las investigaciones revelaron que DeathNote se empleó para atacar organizaciones automovilísticas y académicas de Europa del Este vinculadas a la industria de defensa.
En su estrategia, el autor del ataque cambió sus documentos señuelo por descripciones de puesto de trabajo de contratistas de defensa y relacionados con la diplomacia. Además, el autor elaboró su cadena de infección. Utilizó la técnica de inyección remota de plantillas en sus documentos, y utilizó software troyanizado de visor de PDF de código abierto. Ambos métodos dieron como resultado el mismo malware (DeathNote downloader), responsable de cargar la información de la víctima.
Año 2021
En el año 2021, una empresa Europea de TI que proporciona soluciones para la monitorización de dispositivos red y servidores, se vio comprometida por el clúster DeathNote.
En junio de 2021, el subgrupo de Lazarus comenzó a utilizar un nuevo mecanismo para infectar objetivos en Corea del Sur. Lo que llamó la atención de los investigadores fue que la etapa inicial, del malware era ejecutada por un software legítimo, muy utilizado para la seguridad en Corea del Sur.
Año 2022
Durante el monitoreo del año pasado, se descubrió que el subgrupo de Lazarus logró vulnerar a un contratista de defensa en América Latina. El vector de infección inicial era similar a lo que hemos visto con otros objetivos de la industria de defensa, que implica el uso de un lector de PDF troyanizado con un archivo PDF infectado. Sin embargo, en este caso particular, el actor adoptó una técnica de carga lateral para ejecutar la carga útil final.
Y en julio el grupo logró vulnerar a un contratista de defensa en África. La infección inicial consistía en una aplicación PDF sospechosa, que se había enviado a través de Skype Messenger. Al ejecutarse, el lector de PDF creaba un archivo legítimo (CameraSettingsUIHost.exe) y otro malicioso (DUI70.dll) en el mismo directorio.
Según Seongsu Park, investigador principal de seguridad en GReAT de Kaspersky, el grupo Lazarus es un actor infame y altamente cualificado. El análisis del clúster DeathNote ha mostrado una rápida evolución en sus tácticas, técnicas y procedimientos a lo largo de los años.
Esta campaña no se limitó a negocios de criptomonedas, sino que fue más allá al desplegar software legítimo y archivos maliciosos para comprometer empresas de defensa. Como el grupo Lazarus sigue evolucionando, es vital que las organizaciones mantengan la vigilancia y tomen medidas pro-activas para defenderse de sus actividades maliciosas.
Fuente: Evolución del clúster DeathNote de Lazarus: de ataques a criptomonedas al sector de defensa