Según un nuevo análisis del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC), el grupo de amenazas norcoreano Lazarus está atacando servidores web Windows IIS para lanzar ataques de espionaje.
Según los investigadores, se trata de una variante de la técnica de carga lateral de bibliotecas de vínculos dinámicos (DLL), una táctica utilizada habitualmente por el grupo.
En este caso, creen que los atacantes utilizan “servidores web mal gestionados o vulnerables como rutas de penetración iniciales antes de ejecutar posteriormente sus comandos maliciosos”.
ASEC explicó: “El actor de la amenaza coloca una DLL maliciosa (msvcr100.dll) en la misma ruta de carpeta que una aplicación normal (Wordconv.exe) a través del proceso del servidor web Windows IIS, w3wp.exe. A continuación, ejecutan la aplicación normal para iniciar la ejecución de la DLL maliciosa. En MITRE ATT&CK, este método de ataque se categoriza como técnica de carga lateral de DLL (T1574.002)”.
Tras la infiltración inicial, Lazarus establece un punto de apoyo antes de crear malware adicional (diagn.dll) aprovechando el ‘color picker plugin’ de código abierto, que es un plugin para Notepad++. Este malware facilita el robo de credenciales y el movimiento lateral, ideal para llevar a cabo operaciones de espionaje.
ASEC destacó la creciente sofisticación del grupo Lazarus y su capacidad para utilizar una serie de vectores de ataque para llevar a cabo su intrusión inicial. Esto ha quedado demostrado en incidentes como Log4Shell, la vulnerabilidad de los certificados públicos y el ataque a la cadena de suministro 3CX.
Los investigadores advirtieron: “[Lazarus] es uno de los grupos altamente peligrosos que están lanzando ataques activamente en todo el mundo. Por lo tanto, los responsables de seguridad de las empresas deben utilizar la gestión de la superficie de ataque para identificar los activos que podrían estar expuestos a los actores de amenazas y practicar la precaución aplicando los últimos parches de seguridad siempre que sea posible.”
Añadieron que, debido a que Lazarus se centra en la técnica de carga lateral de DLL durante las infiltraciones iniciales, “las empresas deberían supervisar de forma proactiva las relaciones anómalas de ejecución de procesos y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como la exfiltración de información y el movimiento lateral”.
Info – Ciberseguridad Latam