Lazarus pone en la mira a la industria de defensa
Investigadores de Kaspersky han identificado una nueva campaña, previamente desconocida, de Lazarus, un agente de amenazas avanzadas sumamente prolífico que se encuentra activo por lo menos desde 2009 y ha sido vinculado con una serie de campañas multifacéticas. Desde principios de 2020, este agente ha estado apuntando a la industria de defensa por medio de una puerta trasera especialmente adaptada conocida como ThreatNeedle. Esa puerta trasera se desplaza lateralmente por las redes infectadas, de las que recopila información confidencial.
Lazarus es uno de los agentes de amenazas más prolíficos de la actualidad. Activo desde al menos 2009, Lazarus ha estado involucrado en campañas de ciberespionaje a gran escala, campañas de ransomware e incluso ataques contra el mercado de las criptomonedas. Aunque en los últimos años se ha centrado en las instituciones financieras, parece que a principios de 2020 agregó a su cartera la industria de la defensa.
Los investigadores de Kaspersky detectaron esta campaña por primera vez cuando fueron llamados para ayudar con la respuesta a incidentes y descubrieron que la organización afectada había sido víctima de una puerta trasera especializada (un tipo de malware que permite tener el control completo del dispositivo de manera remota). Conocida como ThreatNeedle, esta puerta trasera se desplaza lateralmente a través de las redes infectadas y extrae información confidencial. Hasta ahora, se han visto afectadas organizaciones de más de una docena de países.
La infección inicial se produce por medio del spear phishing; los objetivos atacados reciben correos electrónicos que contienen un archivo malicioso de Word o un enlace a uno que se encuentra alojado en los servidores de la empresa. Los correos electrónicos afirmaban tener actualizaciones urgentes relacionadas con la pandemia y, supuestamente, provenían de un centro médico respetado.
Una vez abierto el documento malicioso, el malware se descarga y pasa al proceso de despliegue. El malware ThreatNeedle utilizado en esta campaña pertenece a una familia de software malicioso conocida como Manuscrypt, que es parte del grupo Lazarus y que anteriormente se ha visto atacando negocios de criptomonedas. Una vez instalado, ThreatNeedle puede obtener el control total del dispositivo de la víctima, permitiéndole manipular archivos hasta ejecutar órdenes recibidas.
Una de las técnicas más interesantes de esta campaña es que el grupo puede robar datos, tanto de las redes de TI de una oficina.
Según la política de la empresa, se supone que no debe transferirse información entre estas dos redes. Sin embargo, los administradores podían conectarse a ambas redes para dar mantenimiento a estos sistemas. Lazarus logró obtener el control de las estaciones de trabajo del administrador y luego configurar una puerta de enlace maliciosa para atacar la red restringida y para robar y extraer de allí datos confidenciales.
Para proteger a su organización contra ataques como ThreatNeedle, los expertos de Kaspersky recomiendan:
– Brinde a su personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
– Si una empresa cuenta con tecnología operativa (OT) o infraestructura crítica, asegúrese de que esté separada de la red corporativa o de que no se realicen conexiones no autorizadas.
– Asegúrese de que los empleados conozcan y sigan las normas de ciberseguridad.
– Proporcione a su equipo de SOC acceso a la inteligencia de amenazas más reciente. El Kaspersky Threat Intelligence Portal es un único punto de acceso para el departamento de TI de la empresa, que proporciona información y conocimientos sobre ciberataques recopilados por Kaspersky durante más de 20 años.
– Implemente una solución de seguridad de grado empresarial, como Kaspersky Anti Targeted Attack Platform, que detecte en una etapa temprana las amenazas avanzadas a nivel de la red.
– También se recomienda implementar una solución dedicada para redes y nodos industriales, como Kaspersky Industrial CyberSecurity, que permita la supervisión, el análisis y la detección de amenazas del tráfico de la red OT.