ESET Latinoam茅rica identific贸 ataques en los que se utilizan correos de phishing, especialmente dirigidos, ofreciendo falsas ofertas de trabajo.
ESET, compa帽铆a l铆der en detecci贸n proactiva de amenazas, descubri贸 ataques del grupo Lazarus en los que se han utilizado correos de phishing relacionados a falsas ofertas de trabajo. La campa帽a comenz贸 con correos electr贸nicos de spearphishing que conten铆an documentos maliciosos y que utilizaban la imagen de Amazon.
Los correos identificados estaban dirigidos a un empleado de una empresa aeroespacial y a un periodista que cubre pol铆tica. El objetivo principal de los atacantes era la exfiltraci贸n de datos. Lazarus (tambi茅n conocido como HIDDEN COBRA) es un grupo de APT que ha estado activo desde al menos 2009. Es responsable de ataques a compa帽铆as de alto perfil, como fue el robo de decenas de millones de d贸lares en 2016, tambi茅n del brote del ransomware WannaCryptor (tambi茅n conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra infraestructura cr铆tica y p煤blica de Corea del Sur desde al menos 2011.
En ambos casos el contacto comenz贸 a trav茅s de ofertas de trabajo: el empleado en la empresa aeroespacial recibi贸 un archivo adjunto a trav茅s de LinkedIn Messaging y el periodista recibi贸 un documento por correo electr贸nico. Los ataques comenzaron despu茅s de que se abrieron estos documentos y se desplegaron varias herramientas maliciosas en cada sistema.
ESET Latinoam茅rica identific贸 ataques en los que se utilizan correos de phishing, especialmente dirigidos, ofreciendo falsas ofertas de trabajo.
La herramienta m谩s interesante que utilizaron los atacantes fue un m贸dulo de modo de usuario que les permiti贸 la habilidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell leg铆timo. Este es el primer caso registrado de explotaci贸n de esta vulnerabilidad en una campa帽a. Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creaci贸n de procesos y el seguimiento de eventos, entre otros. B谩sicamente cegando las soluciones de seguridad de una manera robusta.
“Atribuimos estos ataques a Lazarus con mucha confianza a partir de los m贸dulos espec铆ficos, el certificado de firma de c贸digo y el enfoque de intrusi贸n en com煤n con campa帽as anteriores de este grupo criminal, como Operation In(ter)ception y Operation DreamJob. La diversidad, el n煤mero y la excentricidad en la implementaci贸n de las campa帽as de Lazarus definen a este grupo, as铆 como el hecho de llevar adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y b煤squeda de ganancias financieras”, menciona Peter K谩lnai, Senior Malware Researcher de ESET.
Esta investigaci贸n se present贸 en la conferencia Virus Bulletin de este a帽o. Debido a su originalidad, el enfoque principal de la presentaci贸n estuvo en el componente malicioso utilizado en este ataque que utiliza la t茅cnica Bring Your Own Vulnerable Driver (BYOVD) y aprovecha la vulnerabilidad CVE-2021-21551 mencionada anteriormente. Informaci贸n m谩s detallada est谩 disponible en el white paper Lazarus & BYOVD: Evil to the Windows core.
Para acceder al an谩lisis t茅cnico completo de cada uno de los componentes y herramientas utilizados por Lazarus ingrese a: Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium.
