Lazarus es uno de los actores de amenazas más prolíficos de la actualidad y lleva activo desde al menos 2009. Desde entonces ha estado involucrado en campañas de ciberespionaje a gran escala, campañas de ransomware e incluso ataques contra el mercado de criptomonedas. En los últimos años se ha centrado en instituciones financieras, pero desde principios de 2020 se ha dirigido al sector industrial de la Defensa, tal y como ha advertido Kaspersky.
Según señala, sus investigadores detectaron una nueva campaña de Lazarus, previamente desconocida, después de que se les solicitara ayuda para responder a un incidente. Descubrieron que la organización había sido víctima de un backdoor personalizado, es decir, un tipo de malware que permite el control remoto completo del dispositivo. Kaspersky indica que esta puerta trasera, bautizada como ThreatNeedle, se desplaza lateralmente a través de las redes infectadas y extrae información confidencial, y que hasta ahora, ya se han visto afectadas organizaciones de más de una docena de países.
Cómo ataca el malware "ThreatNeedle" utilizado por Lazarus
La firma de ciberseguridad también destaca que la infección inicial se produce a través de spear phishing y detalla lo siguiente: "Los objetivos reciben correos electrónicos que contienen un archivo adjunto de Word malicioso o un enlace a uno alojado en los servidores de la empresa. Los correos electrónicos decían contener actualizaciones urgentes relacionadas con la pandemia y provenían, supuestamente, de un reconocido centro médico.
"Una vez abierto el documento malicioso, el malware se descarga y da paso a la siguiente etapa del proceso de despliegue. El malware 'ThreatNeedle' utilizado en esta campaña forma parte de una familia conocida como 'Manuscrypt', perteneciente al grupo Lazarus y vista anteriormente en otros ciberataques a compañías de criptomonedas. Una vez instalado, 'ThreatNeedle' es capaz de obtener el control total del dispositivo de la víctima, lo que significa que puede realizar cualquier cosa, desde manipular archivos hasta ejecutar comandos recibidos".
Valoraciones sobre esta nueva campaña de Lazarus
Para Kaspersky, una de las técnicas más interesantes de esta campaña es la capacidad del grupo para robar datos, tanto de las redes TI de las oficinas como de la red restringida de una planta. En este sentido subraya que, según la política de la empresa, supuestamente no se puede transferir información entre estas dos redes. "Sin embargo, los administradores podían conectarse a ambas redes para mantener estos sistemas. Lazarus pudo obtener el control de las estaciones de trabajo de los administradores y, a continuación, configurar una pasarela maliciosa para atacar la red restringida y robar y extraer datos confidenciales de allí", añade.
En palabras de Seongsu Park, investigador de seguridad senior del Equipo de Investigación y Análisis Global (GReAT): "Lazarus ha sido quizás el actor de amenazas más activo de 2020, y no parece que esto vaya a cambiar a corto plazo. De hecho, ya en enero de este año, el equipo de Análisis de Amenazas de Google informó de que Lazarus había sido detectado usando esta misma puerta trasera para atacar a los investigadores de seguridad. Esperamos ver más acciones de ThreatNeedle en el futuro, por lo que estaremos atentos".
Vyacheslav Kopeytsev, experto en seguridad de Kaspersky ICS CERT, también se ha referido a esta nueva campaña de Lazarus y ha lanzado una advertencia a las empresas: "Lazarus no sólo es muy prolífico, sino también muy sofisticado. No sólo fueron capaces de superar la segmentación de la red, sino que investigaron a fondo para crear correos electrónicos de spear phishing muy personalizados y eficaces, además de construir herramientas personalizadas para extraer la información robada a un servidor remoto. Dado que las organizaciones siguen trabajando a distancia y, por tanto, son más vulnerables, es importante que tomen precauciones de seguridad adicionales para protegerse de este tipo de ataques avanzados".
Consejos para evitar ataques como ThreatNeedle
En su comunicado, Kaspersky también ha aportado esta lista de recomendaciones para ayudar a las organizaciones a protegerse de ataques como ThreatNeedle:
- Ofrecer a su personal una formación básica de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
- Si una empresa tiene tecnología operativa (OT) o infraestructura crítica, asegurarse de que está separada de la red corporativa o de que no haya conexiones no autorizadas.
- Asegurarse de que los empleados conocen y siguen las políticas de ciberseguridad.
- Proporcionar a su equipo SOC acceso a la última inteligencia sobre amenazas (TI). Implantar una solución de seguridad corporativa que detecte las amenazas avanzadas a nivel de red en una fase temprana.
- También se recomienda implementar una solución dedicada para los nodos y redes industriales que permita la supervisión del tráfico de la red OT, el análisis y la detección de amenazas.