Kaspersky ha sido testigo, durante el tercer trimestre del año, de cómo Lazarus ha desarrollado nuevas capacidades de ataque a la cadena de suministro, al mismo tiempo que ha comenzado a utilizar su marco multiplataforma MATA para el ciberespionaje.
El actor entregó una versión troyanizada de una aplicación utilizada por la víctima. Cabe destacar que no es la primera vez que el grupo Lazarus ataca a la industria de la defensa: su anterior campaña, ThreatNeedle, se llevó a cabo de forma similar a mediados de 2020.
«Estos acontecimientos recientes ponen de manifiesto dos cosas: Lazarus sigue interesado en el sector de la defensa y también busca ampliar sus capacidades con ataques a la cadena de suministro», explica Ariel Jungheit, investigador de seguridad senior del Equipo de Investigación y Análisis Global de Kaspersky.
Ataque Lazarus
Lazarus también ha sido descubierto construyendo funcionalidades de ataque a la cadena de suministro con un grupo actualizado de DeathNote, una variante ligeramente actualizada de BLINDINGCAN, un malware previamente reportado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA).
Este grupo APT ha estado detrás de campañas de ciberespionaje y ransomware a gran escala, con ataques en el sector de la defensa y en el mercado de criptomonedas. Ahora, todo apunta a que está aprovechando la gran variedad de herramientas avanzadas de las que dispone y aplicándolas a nuevos objetivos.
Lazarus vuelve a la carga con fines de ciberespionaje y ataques a la cadena de suministro
Cómo evitarlo
Para evitar ser víctima de un ataque dirigido por un actor de amenaza conocido o desconocido, Kaspersky recomienda implementar las siguientes medidas:
- Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para las TI de la compañía, que proporciona datos de ciberataques y perspectivas recopiladas por Kaspersky durante más de 20 años. El acceso gratuito a sus funciones, que permiten a los usuarios comprobar archivos, URLs y direcciones IP.
- Actualice su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación online de Kaspersky desarrollada por los expertos de GReAT.
- Para la detección, investigación y remediación oportuna de los incidentes en el endpoint, implemente soluciones EDR como Kaspersky Endpoint Detection and Response
- Además de adoptar protección básica para endpoints, implemente una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Dado que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social, introduzca la formación en materia de seguridad y enseñe habilidades prácticas a su equipo con soluciones como Kaspersky Automated Security Awareness Platform.