El actor de amenaza vinculado a Corea del Septentrión conocido como Lázaro se ha atribuido a una campaña de ingeniería social que distribuye tres piezas diferentes de malware multiplataforma llamado Pondrat, Themeforestrat y Remotepe.
El ataque, observado por FOX-IT del camarilla NCC en 2024, atacó a una ordenamiento en el sector de finanzas descentralizadas (DEFI), lo que finalmente condujo al compromiso del sistema de un empleado.
“A partir de ahí, el actor realizó un descubrimiento desde el interior de la red utilizando diferentes ratas en combinación con otras herramientas, por ejemplo, para cosechar credenciales o conexiones proxy”, dijeron Yun Zheng Hu y Mick Koomen. “Después, el actor se mudó a una rata más sigilosa, lo que probablemente significa una subsiguiente etapa en el ataque”.
La sujeción de ataque comienza con el actor de amenaza que se hace tener lugar por un empleado existente de una compañía comercial en Telegram y utilizando sitios web falsos disfrazados de calendamente y Picktime para programar una reunión con la víctima.
Aunque actualmente no se conoce el vector de acercamiento auténtico exacto, el punto de apoyo se aprovecha para implementar un cargador llamado PerfhLoader, que luego deja caer Pondrat, un malware conocido evaluado como una modificación despojada de PoolRat (incluso conocida como SimplePlesea). La compañía de ciberseguridad dijo que hay alguna evidencia que sugiere que se usó un exploit de día cero en el navegador Chrome en el ataque.
Incluso se entregan cercano con Pondrat se encuentran una serie de otras herramientas, que incluyen una captura de pantalla, Keylogger, Chrome Credential y Cookie Stealer, Mimikatz, FRPC y programas proxy como MidProxy y Proxy Mini.
“Pondrat es una rata sencilla que permite que un cámara lea y escriba archivos, inicie los procesos y ejecute ShellCode”, dijo Fox-It, y agregó que se remonta a al menos 2021. “El actor usó Pondrat en combinación con theoforestrat durante aproximadamente tres meses, a la desinfección e instalar la rata más sofistada citación Remotepe”.
El malware Pondrat está diseñado para comunicarse a través de HTTP (s) con un servidor de comando y control de codificación (C2) codificada para cobrar más instrucciones, con ThmeForStat enérgico directamente en la memoria, ya sea a través de Pondrat o un cargador dedicado.
ThmeForStatrat, como Pondrat, monitores para nuevas sesiones de escritorio remoto (RDP) y contacta a un servidor C2 a través de HTTP (s) para recuperar hasta los vigésimo comandos en enumerar archivos/directorios, realizar operaciones de archivos, ejecutar comandos, probar la conexión TCP, el archivo TimestOmp basado en otro archivo en el disco, obtener la tira de procesos, descargar archivos, inyectores shellcode, spwning y spebernate y spbernate y spbernate y spebernat cantidad específica de tiempo.
Fox-IT dijo que ThemeforStat comparte similitudes con un Romeogolf con nombre en código de malware que fue utilizado por el Especie Lázaro en el ataque destructivo de limpiaparabrisas de noviembre de 2014 contra Sony Pictures Entertainment (SPE). Fue documentado por Novetta como parte de un esfuerzo de colaboración conocido como Operación Blockbuster.
Remotepe, por otro costado, es recuperado de un servidor C2 por Remotepeloader, que, a su vez, está cargado por DPAPILOADER. Escrito en C ++, Remotepe es una rata más destacamento que probablemente esté reservada para objetivos de suspensión valía.
“Pondrat es una rata primitiva que proporciona poca flexibilidad, sin bloqueo, como una carga útil auténtico, logra su propósito”, dijo Fox-It. “Para tareas más complejas, el actor usa theforestrat, que tiene más funcionalidad y permanece bajo el radar a medida que se carga solo en la memoria”.
