El Equipo de Investigación y Análisis de Kaspersky (GReAT) ha desvelado una nueva campaña del grupo Lazarus, que apunta a organizaciones a nivel global. La investigación, presentada en el Security Analyst Summit (SAS), revela que esta sofisticada campaña APT se distribuye a través de malware y software legítimo.
GReAT identificó múltiples ciberincidentes en los que se utilizó software legítimo diseñado para cifrar comunicaciones web mediante certificados digitales. A pesar de que se emitieron notificaciones y correcciones para las vulnerabilidades, algunas organizaciones en todo el mundo siguieron usando versiones vulnerables del software, lo que creó una puerta abierta para el grupo Lazarus.
«El grupo Lazarus es persistente, tiene una motivación inquebrantable y muestra capacidades avanzadas. Opera a escala global, dirigiéndose contra una amplia gama de sectores de distintas formas. Es una amenaza en evolución constante que debe mantenernos siempre alerta», asegura Seongsu Park, investigador principal de seguridad GReAT de Kaspersky.
Lazarus contra el software legítimo
Los ciberatacantes exhibieron un alto grado de sofisticación, empleando técnicas de evasión avanzadas y malware para mantener bajo control a la víctima. Utilizaron la herramienta conocida como LPEClient, previamente utilizada para atacar a víctimas en el sector de defensa, ingeniería nuclear y criptomonedas.
Este malware desempeña un papel crucial al iniciar la infección y perfilando a la víctima, alineándose con las tácticas del grupo Lazarus, como se vio en un ataque previo contra la cadena de suministro 3CX.
Kaspersky descubre una peligrosa campaña de Lazarus que explota software legítimo
Lazarus intentó en varias ocasiones comprometer al proveedor de software, posiblemente con el objetivo de robar código fuente crítico o interrumpir la cadena de suministro.
Recomendaciones de seguridad
Para evitar ser víctima de amenazas conocidas o desconocidas, los expertos de Kaspersky recomiendan implementar las siguientes medidas:
- Actualizar con regularidad los dispositivos, aplicaciones y el software antivirus para parchear vulnerabilidades conocidas
- Usar una solución EDR de confianza como Kaspersky Endpoint Detection and Response para la detección temprana de amenazas avanzadas, así como para investigar y resolver incidentes
- Proveer al equipo del SOC de la última información de amenazas. The Kaspersky Threat Intelligence Portal es un sencillo punto de acceso para las empresas que ofrece información y datos recogidos por Kaspersky durante los últimos 20 años
- Ser cautelosos con los correos, mensajes y llamadas que solicitan información sensible. Es imprescindible verificar la identidad del interlocutor antes de compartir cualquier información confidencial o hacer clic en un enlace
- Capacitar debidamente al equipo de seguridad para que pueda enfrentarse a las últimas amenazas a través de Kaspersky Online Training