ESET ha descubierto en un ataque a la cadena de suministro en Corea del Sur un nuevo intento de despliegue del malware Lazarus. En esta ocasión, los ciberdelincuentes hacían un uso malicioso de soluciones de seguridad legítimas y de certificados digitales robados a dos empresas diferentes.
Los atacantes utilizaron certificados de firma de código obtenidos de forma irregular para poder firmar las muestras de malware. Uno de estos certificados había sido emitido a la filial estadounidense de una compañía surcoreana de seguridad.
“Los atacantes camuflaban las muestras de Lazarus como un software legítimo, con nombres de archivo, iconos y recursos similares al software oficial. La combinación de las webs comprometidas con el soporte de WIZVERA VeraPort y con algunas configuraciones específicas de VeraPort es lo que ha permitido que este ataque tuviera éxito”, explica Peter Kálnai, investigador de ESET que ha analizado el ataque de Lazarus junto a Cherepanov.
Nuevo ataque del malware Lazarus observado por ESET
La compañía ha observado en su laboratorio fuertes indicios para atribuir este ataque a Lazarus como continuación de la operación BookCodes.
ESET afirma que los atacantes utilizaron certificados de firma de código obtenidos de forma irregular para poder firmar las muestras de malware Lazarus
Y es que, al contar con características similares en el conjunto de herramientas y si se tiene en cuenta que el ataque ha ocurrido en Corea del Sur (donde Lazarus ya ha operado más veces), la naturaleza personalizada de los métodos de intrusión y cifrado utilizados llevan a pensar que el origen de la campaña es Lazarus.
El conjunto de herramientas de Lazarus es muy amplio, por lo que la compañía considera que existen otros subgrupos operando. Al contrario que con otros conjuntos de herramientas utilizados por otros grupos cibercriminales, los códigos fuente de Lazarus nunca han sido revelados en ninguna filtración que se haya hecho pública.