El actor de amenazas norcoreano conocido como Lazarus Group ha sido descubierto explotando fallos en un software no identificado para acceder a una empresa financiera surcoreana dos veces el año pasado. La noticia procede de los investigadores de seguridad de Asec, que publicaron un aviso sobre los ataques el martes.
La empresa registró el primero de los ataques en mayo de 2022, mientras que el segundo se produjo en octubre del mismo año. Al parecer, ambas operaciones se basaron en la misma vulnerabilidad de día cero.
“Durante la infiltración de mayo de 2022, la empresa afectada estaba utilizando una versión vulnerable de un programa de certificados que era comúnmente utilizado por instituciones públicas y universidades”, reza el aviso de Asec.
Asec señaló que, tras descubrir el fallo, lo comunicó a la Korea Internet & Security Agency (KISA).
Desde un punto de vista técnico, los actores de la amenaza utilizaron un método BYOVD (Bring Your Own Vulnerable Driver) para explotar los módulos vulnerables del núcleo del controlador del software y desactivar los productos de seguridad en las máquinas infectadas.
En términos más generales, los investigadores de seguridad señalaron que, aunque el software de certificados en cuestión se utiliza habitualmente en Corea, no dispone de actualizaciones automáticas.
Además, dado que la empresa víctima volvió a ser infiltrada por el mismo grupo de hackers utilizando un método similar, Asec recomendó a las empresas directrices específicas para defenderse de ataques similares.
El aviso de Asec llega semanas después de que los investigadores de Eset vincularan una carga útil del descargador Wslink denominada WinorDLL64 a los actores de la amenaza del grupo Lazarus.
Info – Ciberseguridad Latam