Se ha observado al notorio actor de Lazarus Group montando una nueva campaña que hace uso del servicio Windows Update para ejecutar su carga dañina, expandiendo el arsenal de técnicas de vida fuera de la tierra (LotL) aprovechadas por el grupo APT para promover sus objetivos. .
El Grupo Lázaro, también conocido como APT38, Hidden Cobra, Whois Hacking Team y Zinc, es el apodo asignado al grupo de piratería del estado-nación con sede en Corea del Norte que ha estado activo desde al menos 2009. El año pasado, el actor de amenazas estuvo vinculado a una elaborada campaña de ingeniería social dirigida a la seguridad. investigadores
Los últimos ataques de spear-phishing, que Malwarebytes detectados el 18 de enero, se originan a partir de documentos armados con señuelos con temas de trabajo que se hacen pasar por la compañía aeroespacial y de seguridad global estadounidense Lockheed Martin.
Al abrir el archivo señuelo de Microsoft Word, se desencadena la ejecución de una macro maliciosa incrustada en el documento que, a su vez, ejecuta un shellcode decodificado en Base64 para inyectar una serie de componentes de malware en el proceso explorer.exe.
En la siguiente fase, uno de los binarios cargados, «drops_lnk.dll», aprovecha el cliente de Windows Update para ejecutar un segundo módulo llamado «wuaueng.dll».https://thehackernews.com/2022/01/»Este es un técnica interesante utilizada por Lazarus para ejecutar su archivo DLL malicioso utilizando el cliente de actualización de Windows para eludir los mecanismos de detección de seguridad», señalaron los investigadores Ankur Saini y Hossein Jazi.
La firma de ciberseguridad caracterizó a «wuaueng.dll» como «una de las DLL más importantes en la cadena de ataque», cuyo objetivo principal es establecer comunicaciones con un servidor de comando y control (C2), un repositorio de GitHub que alberga módulos maliciosos disfrazados de Archivos de imagen PNG. Se dice que la cuenta de GitHub se creó el 17 de enero de 2022.
Malwarebytes dijo que los enlaces a Lazarus Group se basan en varias pruebas que los vinculan a ataques anteriores del mismo actor, incluidas superposiciones de infraestructura, metadatos de documentos y el uso de plantillas de oportunidades laborales para identificar a sus víctimas.
«Lazarus APT es uno de los grupos APT avanzados que se sabe que apunta a la industria de la defensa», concluyeron los investigadores. «El grupo continúa actualizando su conjunto de herramientas para evadir los mecanismos de seguridad. Aunque han utilizado su antiguo método de tema de trabajo, emplearon varias técnicas nuevas para eludir las detecciones».
