Kaspersky ha identificado una nueva campaña de Lazarus. En este caso, desde principios de 2020, se ha dirigido a la industria de la Defensa con un backdoor personalizado apodado ThreatNeedle. Dicho backdoor se mueve lateralmente a través de las redes infectadas recopilando información sensible.

Los investigadores tuvieron conocimiento de esta campaña por primera vez cuando a la compañía se le solicitó ayuda para responder a un incidente, y descubrieron que la organización había sido víctima de un backdoor personalizado, bautizado como ThreatNeedle.

“Lazarus ha sido quizás el actor de amenazas más activo de 2020, y no parece que esto vaya a cambiar a corto plazo. De hecho, ya en enero de este año, el equipo de Análisis de Amenazas de Google informó de que Lazarus había sido detectado usando esta misma puerta trasera para atacar a los investigadores de seguridad. Esperamos ver más acciones de ThreatNeedle en el futuro, por lo que estaremos atentos”, afirma Seongsu Park, investigador de seguridad senior del Equipo de Investigación y Análisis Global.

Cómo actúa la nueva campaña de Lazarus ThreatNeedle

La infección inicial se produce a través de spear phishing; los objetivos reciben correos electrónicos que contienen un archivo adjunto de Word malicioso o un enlace a uno alojado en los servidores de la empresa. Una vez abierto el documento malicioso, el malware se descarga y da paso a la siguiente etapa del proceso de despliegue. 

El malware ThreatNeedle utilizado en esta campaña forma parte de una familia conocida como Manuscrypt, perteneciente al grupo Lazarus y vista anteriormente en otros ciberataques a compañías de criptomonedas. Una vez instalado, ThreatNeedle es capaz de obtener el control total del dispositivo de la víctima, lo que significa que puede realizar cualquier cosa, desde manipular archivos hasta ejecutar comandos recibidos.

Una de las técnicas más interesantes de esta campaña es la capacidad del grupo para robar datos tanto de las redes TI de las oficinas como de la red restringida de una planta. Según la política de la empresa, se supone que no se puede transferir información entre estas dos redes.

Los investigadores descubrieron que la organización había sido víctima de un backdoor personalizado, bautizado como ThreatNeedle

Recomendaciones Kaspersky 

Para protegerse de ataques como ThreatNeedle, los expertos de Kaspersky recomiendan a las organizaciones: 

  • Proporcionar a su personal una formación básica de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
  • Si una empresa tiene tecnología operativa (OT) o infraestructura crítica, asegurarse de que está separada de la red corporativa o de que no haya conexiones no autorizadas.
  • Asegúrese de que los empleados conocen y siguen las políticas de ciberseguridad. · Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas (TI). Kaspersky Threat Intelligence Portal es un punto de acceso único a la inteligencia de amenazas de la compañía, que proporciona datos de ciberataques y previsiones recopiladas por Kaspersky durante más de 20 años.
  • Implantar una solución de seguridad corporativa que detecte las amenazas avanzadas a nivel de red en una fase temprana, como Kaspersky Anti Targeted Attack Platform.
  • También se recomienda implementar una solución dedicada para los nodos y redes industriales que permita la supervisión del tráfico de la red OT, el análisis y la detección de amenazas, como Kaspersky Industrial CyberSecurity.