Los actores de amenazas persistentes avanzadas (APT) se caracterizan por modificar de forma constante su modus operandi. A veces optan por mantenerse constantes en sus estrategias, y en otras ocasiones utilizan nuevas tácticas y exploran con distintas técnicas y procedimientos.
En el tercer trimestre del año, los investigadores de Kaspersky fueron testigos de cómo Lazarus, un actor de amenazas avanzadas muy prolífico desarrollaba capacidades de ataque a la cadena de suministro y hacía uso de su marco multiplataforma MATA para practicar el ciberespionaje. Esta y otras tendencias de APT en todo el mundo se resumen en el informe trimestral de inteligencia sobre amenazas de Kaspersky.
Lazarus es uno de los actores de amenazas más prolíficos del mundo y está activo desde al menos 2009. Este grupo APT ha estado detrás de campañas de ciberespionaje y ransomware a gran escala, con ataques en el sector de la defensa y en el mercado de criptomonedas. Ahora, todo apunta a que está aprovechando la gran variedad de herramientas avanzadas de las que dispone y aplicándolas a nuevas dianas, como pueden ser las cadenas de suministro.
Así, Lazarus ha sido descubierto construyendo funcionalidades de ataque a la cadena de suministro con un grupo actualizado de DeathNote, una variante ligeramente actualizada de BLINDINGCAN, un malware previamente reportado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA). Los investigadores de Kaspersky descubrieron campañas dirigidas a un think-tank surcoreano y a un proveedor de soluciones de monitorización de activos TI. En el primer caso descubierto por los investigadores de Kaspersky, Lazarus desarrolló una cadena de infección que partía de un software de seguridad surcoreano legítimo que desplegaba una carga útil maliciosa; en el segundo caso, el objetivo era una empresa letona que desarrollaba soluciones de monitorización de activos, un objetivo atípico para Lazarus. Como parte de la cadena de infección, Lazarus utilizó un descargador llamado "Racket" que firmó utilizando un certificado robado. El actor comprometió los servidores webvulnerables y cargó varios scripts para filtrar y controlar los implantes maliciosos en las máquinas atacadas con éxito.
Se han producido ataques similares llevados a cabo por SmudgeX y BountyGlad
En junio de 2021, los investigadores de Kaspersky observaron al grupo Lazarus atacando el sector de la defensa utilizando el marco de malware MATA, que puede dirigirse a tres sistemas operativos: Windows, Linux y macOS. Históricamente, Lazarus ha utilizado MATA para atacar a varias industrias con fines tales como el robo de bases de datos de clientes y la propagación de ransomware. Sin embargo, esta vez el equipo de Kaspersky rastreó Lazarus utilizando MATA con fines de ciberespionaje. El actor entregó una versión troyanizada de una aplicación utilizada por la víctima – una técnica habitual de Lazarus. Cabe destacar que no es la primera vez que el grupo Lazarus ataca a la industria de la defensa: su anterior campaña, ThreatNeedle, se llevó a cabo de forma similar a mediados de 2020.
Ariel Jungheit, investigador de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky, ha manifestado:
"Estos acontecimientos recientes ponen de manifiesto dos cosas: Lazarus sigue interesado en el sector de la defensa y también busca ampliar sus capacidades con ataques a la cadena de suministro. Este grupo APT no es el único que hemos visto utilizando ataques a la cadena de suministro. En el último trimestre también hemos rastreado ataques de este tipo llevados a cabo por SmudgeX y BountyGlad. Cuando se llevan a cabo con éxito, los ataques a la cadena de suministro pueden resultar devastadores, afectando a mucho más de una organización, algo que vimos claramente con el ataque a SolarWinds el año pasado. Dado que los actores de las amenazas están invirtiendo en este tipo de capacidades, debemos permanecer atentos y centrar los esfuerzos de defensa en ese frente",
El informe sobre las tendencias de APT del tercer trimestre resume los resultados de los informes de inteligencia sobre amenazas para suscriptores de Kaspersky, que también incluyen datos de Indicadores de Compromiso (IoC) y reglas YARA para ayudar en el análisis forense y la búsqueda de malware.
l