Nuestros investigadores han identificado una nueva campaña, previamente desconocida, de Lazarus, un agente de amenazas avanzadas sumamente prolífico que se encuentra activo por lo menos desde 2009 y ha sido vinculado con una serie de campañas multifacéticas. Desde principios de 2020, este agente ha estado apuntando a la industria de defensa por medio de una puerta trasera especialmente adaptada conocida como ThreatNeedle. Esa puerta trasera se desplaza lateralmente por las redes infectadas, de las que recopila información confidencial.
Lazarus es uno de los agentes de amenazas más prolíficos de la actualidad. Activo desde al menos 2009, Lazarus ha estado involucrado en campañas de ciberespionaje a gran escala, campañas de ransomware e incluso ataques contra el mercado de las criptomonedas. Aunque en los últimos años se ha centrado en las instituciones financieras, parece que a principios de 2020 agregó a su “cartera” la industria de la defensa.
Nuestros investigadores detectaron esta campaña por primera vez cuando fueron llamados para ayudar con la respuesta a incidentes y descubrieron que la organización afectada había sido víctima de una puerta trasera especializada (un tipo de malware que permite tener el control completo del dispositivo de manera remota). Conocida como ThreatNeedle, esta puerta trasera se desplaza lateralmente a través de las redes infectadas y extrae información confidencial. Hasta ahora, se han visto afectadas organizaciones de más de una docena de países.
La infección inicial se produce por medio del spear phishing; los objetivos atacados reciben correos electrónicos que contienen un archivo malicioso de Word o un enlace a uno que se encuentra alojado en los servidores de la empresa. Los correos electrónicos afirmaban tener actualizaciones urgentes relacionadas con la pandemia y, supuestamente, provenían de un centro médico respetado.
Una vez abierto el documento malicioso, el malware se descarga y pasa al proceso de despliegue. El malware ThreatNeedle utilizado en esta campaña pertenece a una familia de software malicioso conocida como Manuscrypt, que es parte del grupo Lazarus y que anteriormente se ha visto atacando negocios de criptomonedas. Una vez instalado, ThreatNeedle puede obtener el control total del dispositivo de la víctima, permitiéndole manipular archivos hasta ejecutar órdenes recibidas.
Una de las técnicas más interesantes de esta campaña es que el grupo puede robar datos, tanto de las redes de TI de una oficina (red con computadoras con acceso a la Internet) como de la red restringida de una planta (que contiene equipos y activos de misión crítica con datos altamente sensibles y sin acceso a Internet). Según la política de la empresa, se supone que no debe transferirse información entre estas dos redes. Sin embargo, los administradores podían conectarse a ambas redes para dar mantenimiento a estos sistemas. Lazarus logró obtener el control de las estaciones de trabajo del administrador y luego configurar una puerta de enlace maliciosa para atacar la red restringida y para robar y extraer de allí datos confidenciales.
“Lazarus fue quizás el agente de amenazas más activo de 2020 y, aparentemente, esto no va a cambiar a corto plazo. De hecho, ya en enero de este año, el equipo de análisis de amenazas de Google informó que se había visto a Lazarus usando esta misma puerta trasera para atacar a investigadores de seguridad. Esperamos ver más de ThreatNeedle en el futuro, y estaremos atentos”, comenta Seongsu Park, investigador sénior de seguridad del Equipo Global de Análisis e Investigación en Kaspersky.
“Lazarus no solo es muy prolífico, sino muy avanzado. No solo pudieron superar la segmentación de la red, sino que también realizaron una investigación exhaustiva para crear correos electrónicos de phishing sumamente especializados y eficaces y, además, crearon herramientas especializadas para extraer remotamente la información robada a un servidor. Con industrias que todavía se encuentran lidiando con el trabajo a distancia y que, por lo tanto, son más vulnerables, es importante que las organizaciones tomen precauciones de seguridad adicionales para protegerse contra este tipo de ataques avanzados”, agrega Vyacheslav Kopeytsev, experto en seguridad de Kaspersky ICS CERT.
Para proteger su organización contra ataques como ThreatNeedle, recomendamos:
- Brindar a su personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
- Si una empresa cuenta con tecnología operativa (OT) o infraestructura crítica, asegurarse de que esté separada de la red corporativa o de que no se realicen conexiones no autorizadas.
- Asegurarse de que los empleados conozcan y sigan las normas de ciberseguridad.
- Proporcionar a su equipo de SOC acceso a la inteligencia de amenazas más reciente. El Kaspersky Threat Intelligence Portal es un único punto de acceso para el departamento de TI de la empresa, que proporciona información y conocimientos sobre ciberataques recopilados por Kaspersky durante más de 20 años.
- Implementar una solución de seguridad de grado empresarial, como Kaspersky Anti Targeted Attack Platform, que detecte en una etapa temprana las amenazas avanzadas a nivel de la red.
- También se recomienda implementar una solución dedicada para redes y nodos industriales, como Kaspersky Industrial CyberSecurity, que permita la supervisión, el análisis y la detección de amenazas del tráfico de la red OT.
Lea más sobre la campaña ThreatNeedle en el sitio web de Kaspersky ICS CERT.