Nuestros investigadores han identificado una nueva campa\u00f1a, previamente desconocida, de Lazarus, un agente de amenazas avanzadas sumamente prol\u00edfico que se encuentra activo por lo menos desde 2009 y ha sido vinculado con una serie de campa\u00f1as multifac\u00e9ticas. Desde principios de 2020, este agente ha estado apuntando a la industria de defensa por medio de una puerta trasera especialmente adaptada conocida como ThreatNeedle. Esa puerta trasera se desplaza lateralmente por las redes infectadas, de las que recopila informaci\u00f3n confidencial.<\/p>\n
Lazarus<\/a> es uno de los agentes de amenazas m\u00e1s prol\u00edficos de la actualidad. Activo desde al menos 2009, Lazarus ha estado involucrado en campa\u00f1as de ciberespionaje a gran escala, campa\u00f1as de ransomware<\/a> e incluso ataques contra el mercado de las criptomonedas<\/a>. Aunque en los \u00faltimos a\u00f1os se ha centrado en las instituciones financieras, parece que a principios de 2020 agreg\u00f3 a su \u201ccartera\u201d la industria de la defensa.<\/p>\n Nuestros investigadores detectaron esta campa\u00f1a por primera vez cuando fueron llamados para ayudar con la respuesta a incidentes y descubrieron que la organizaci\u00f3n afectada hab\u00eda sido v\u00edctima de una puerta trasera especializada (un tipo de malware que permite tener el control completo del dispositivo de manera remota). Conocida como ThreatNeedle, esta puerta trasera se desplaza lateralmente a trav\u00e9s de las redes infectadas y extrae informaci\u00f3n confidencial. Hasta ahora, se han visto afectadas organizaciones de m\u00e1s de una docena de pa\u00edses.<\/p>\n La infecci\u00f3n inicial se produce por medio del spear phishing<\/em>; los objetivos atacados reciben correos electr\u00f3nicos que contienen un archivo malicioso de Word o un enlace a uno que se encuentra alojado en los servidores de la empresa. Los correos electr\u00f3nicos afirmaban tener actualizaciones urgentes relacionadas con la pandemia y, supuestamente, proven\u00edan de un centro m\u00e9dico respetado.<\/p>\n Una vez abierto el documento malicioso, el malware se descarga y pasa al proceso de despliegue. El malware ThreatNeedle utilizado en esta campa\u00f1a pertenece a una familia de software malicioso conocida como Manuscrypt, que es parte del grupo Lazarus y que anteriormente se ha visto atacando negocios de criptomonedas. Una vez instalado, ThreatNeedle puede obtener el control total del dispositivo de la v\u00edctima, permiti\u00e9ndole manipular archivos hasta ejecutar \u00f3rdenes recibidas.<\/p>\n Una de las t\u00e9cnicas m\u00e1s interesantes de esta campa\u00f1a es que el grupo puede robar datos, tanto de las redes de TI de una oficina (red con computadoras con acceso a la Internet) como de la red restringida de una planta (que contiene equipos y activos de misi\u00f3n cr\u00edtica con datos altamente sensibles y sin acceso a Internet). Seg\u00fan la pol\u00edtica de la empresa, se supone que no debe transferirse informaci\u00f3n entre estas dos redes. Sin embargo, los administradores pod\u00edan conectarse a ambas redes para dar mantenimiento a estos sistemas. Lazarus logr\u00f3 obtener el control de las estaciones de trabajo del administrador y luego configurar una puerta de enlace maliciosa para atacar la red restringida y para robar y extraer de all\u00ed datos confidenciales.<\/p>\n \u201c<\/em>Lazarus <\/em>fue quiz\u00e1s el agente de amenazas m\u00e1s activo de 2020 y, aparentemente, esto no va a cambiar a corto plazo. De hecho, ya en enero de este a\u00f1o, el equipo de an\u00e1lisis de amenazas de Google inform\u00f3 que se hab\u00eda visto a Lazarus usando esta misma puerta trasera para atacar a investigadores de seguridad. Esperamos ver m\u00e1s de ThreatNeedle en el futuro, y estaremos atentos\u201d,<\/em> comenta Seongsu Park, investigador s\u00e9nior de seguridad del Equipo Global de An\u00e1lisis e Investigaci\u00f3n en Kaspersky.<\/strong><\/p>\n \u201cLazarus no solo es muy prol\u00edfico, sino muy avanzado. No solo pudieron superar la segmentaci\u00f3n de la red, sino que tambi\u00e9n realizaron una investigaci\u00f3n exhaustiva para crear correos electr\u00f3nicos de phishing sumamente especializados y eficaces y, adem\u00e1s, crearon herramientas especializadas para extraer remotamente la informaci\u00f3n robada a un servidor. Con industrias que todav\u00eda se encuentran lidiando con el trabajo a distancia y que, por lo tanto, son m\u00e1s vulnerables, es importante que las organizaciones tomen precauciones de seguridad adicionales para protegerse contra este tipo de ataques avanzados\u201d,<\/em> agrega Vyacheslav Kopeytsev, experto en seguridad de Kaspersky ICS CERT.<\/strong><\/p>\n Para proteger su organizaci\u00f3n contra ataques como ThreatNeedle, recomendamos:<\/p>\n\n