Por estrategiaynegocios.net
ESET, compañía de detección proactiva de amenazas, descubrió ataques del grupo Lazarus en los que se han utilizado correos de “phishing” relacionados a falsas ofertas de trabajo.
La campaña comenzó con correos electrónicos de “spearphishing” que contenían documentos maliciosos y que utilizaban la imagen de Amazon.
El objetivo principal de los atacantes era la exfiltración de datos. Lazarus (también conocido como HIDDEN COBRA) es un grupo de APT que ha estado activo desde al menos 2009. Es responsable de ataques a compañías de alto perfil, como fue el robo de decenas de millones de dólares en 2016, también del brote del “ransomware” WannaCryptor (también conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra infraestructura crítica y pública de Corea del Sur desde al menos 2011.
Puede leer: Foro Transformación Digital: La preparación es clave para enfrentar un ciberataque
En ambos casos el contacto comenzó a través de ofertas de trabajo: un archivo adjunto a través de LinkedIn Messaging o un documento por correo electrónico. Los ataques comenzaron después de que se abrieron estos documentos y se desplegaron varias herramientas maliciosas en cada sistema.
Según ESET, la herramienta más interesante que utilizaron los atacantes fue un módulo de modo de usuario que les permitió la habilidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo. Este es el primer caso registrado de explotación de esta vulnerabilidad en una campaña.
De interés: 2 de cada 3 empresas de América Latina no capacita a su personal en ciberseguridad
Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos y el seguimiento de eventos, entre otros. Básicamente cegando las soluciones de seguridad de una manera robusta.
“La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como el hecho de llevar adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y búsqueda de ganancias financieras”, menciona Peter Kálnai, Senior Malware Researcher de ESET.
