Gracias en parte a un error de seguridad operativa por parte de un atacante, los investigadores de seguridad de WithSecure han vinculado una campaña de ciberataques al conocido Grupo Lazarus de Corea del Norte.
Los investigadores descubrieron la última campaña del grupo después de que se detectara un presunto ataque de ransomware en una organización protegida por la plataforma de seguridad nativa en la nube WithSecure Elements.
«Aunque en un principio se sospechó que se trataba de un intento de ataque de ransomware BianLian, las pruebas que recogimos apuntaron rápidamente en otra dirección. Y a medida que recopilábamos más pruebas, nos llevó a concluir con seguridad que se trataba del Grupo Lazarus», explica Sami Ruohonen, investigador senior de inteligencia de amenazas, WithSecure.
Nueva amenaza Grupo Lazarus
Los objetivos específicos de la campaña identificados por los investigadores incluían:
- una organización de investigación sanitaria
- un fabricante de tecnología utilizada en los sectores de la energía
- la investigación, la defensa y la sanidad
- el departamento de ingeniería química de una importante universidad de investigación
Alerta! Nueva campaña de ciberataques del Grupo Lazarus
Además, los investigadores descubrieron varias novedades dignas de mención en esta campaña en comparación con la actividad anterior del Grupo Lazarus, entre ellas:
- El uso de nueva infraestructura, incluida la dependencia exclusiva de direcciones IP sin nombres de dominio (en un cambio con respecto a ataques anteriores).
- Una versión modificada del malware de robo de información Dtrack, utilizado por el Grupo Lazarus y Kimsuky (otro grupo asociado con Corea del Norte) en ataques anteriores.
- Una nueva versión del malware GREASE que permite a los atacantes crear nuevas cuentas de administrador con privilegios de protocolo de escritorio remoto que eluden los cortafuegos.
