Se ha observado que el Género Lazarus, un infame actor de amenazas vinculado a la República Popular Democrática de Corea (RPDC), aprovecha una «sujeción de infección compleja» dirigida a al menos dos empleados pertenecientes a una ordenamiento no identificada relacionada con la energía nuclear en el plazo de un mes. Enero de 2024.
Los ataques, que culminaron con el despliegue de una nueva puerta trasera modular denominada CookiePlusson parte de una campaña de ciberespionaje de larga duración conocida como Operación Dream Job, que asimismo es rastreada como NukeSped por la empresa de ciberseguridad Kaspersky. Se sabe que está activo desde al menos 2020, cuando ClearSky lo expuso.
Estas actividades a menudo implican apuntar a desarrolladores y empleados de diversas empresas, incluidos los sectores de defensa, aeroespacial, de criptomonedas y otros sectores globales, con oportunidades laborales lucrativas que, en última instancia, conducen a la implementación de malware en sus máquinas.
«Lazarus está interesado en tolerar a agarradera ataques a la sujeción de suministro como parte de la campaña DeathNote, pero esto se limita principalmente a dos métodos: el primero es expedir un documento receloso o un visor de PDF troyanizado que muestra descripciones de trabajo personalizadas al objetivo», dijo la firma rusa en un observación total.
«El segundo es distribuir herramientas troyanizadas de entrada remoto como VNC o PuTTY para convencer a los objetivos de que se conecten a un servidor específico para una evaluación de habilidades».
El postrero conjunto de ataques documentados por Kaspersky involucra el segundo método, en el que el adversario hace uso de una sujeción de infección completamente renovada que entrega una utilidad VNC troyanizada con el pretexto de realizar una evaluación de habilidades para puestos de TI en destacadas empresas aeroespaciales y de defensa.
Vale la pena señalar que el uso por parte de Lazarus Group de versiones maliciosas de aplicaciones VNC para atacar a ingenieros nucleares fue destacado previamente por la compañía en octubre de 2023 en su crónica de tendencias APT para el tercer trimestre de 2023.
«Lazarus entregó el primer archivo a al menos dos personas internamente de la misma ordenamiento (los llamaremos Host A y Host B)», dijeron los investigadores Vasily Berdnikov y Sojun Ryu. «Posteriormente de un mes, intentaron ataques más intensos contra el primer objetivo».
Se cree que las aplicaciones VNC, una interpretación troyanizada de TightVNC citación «AmazonVNC.exe», se distribuyeron en forma de imágenes ISO y archivos ZIP. En otros casos, se utilizó una interpretación legítima de UltraVNC para descargar una DLL maliciosa empaquetada en el archivo ZIP.
La DLL («vnclang.dll») sirve como cargador para una puerta trasera denominada MISTPEN, que fue descubierta por Mandiant, propiedad de Google, en septiembre de 2024. Está rastreando el asociación de actividad bajo el nombre UNC2970. Se ha descubierto que MISTPEN, por su parte, entrega dos cargas enseres adicionales con el nombre en código RollMid y una nueva transformación de LPEClient.
Kaspersky dijo que asimismo observó la implementación del malware CookieTime en el Host A, aunque se desconoce el método exacto que se utilizó para facilitarlo. Descubierto por primera vez por la empresa en septiembre y noviembre de 2020, CookieTime recibe su nombre por el uso de títulos de cookies codificados en solicitudes HTTP para obtener instrucciones de un servidor de comando y control (C2).
Una investigación más profunda de la sujeción de ataque ha revelado que el actor de la amenaza se movió lateralmente del Host A a otra máquina (Host C), donde CookieTime se usó nuevamente para soltar varias cargas enseres entre febrero y junio de 2024, como las siguientes:
- LPEClient, un malware que viene equipado con capacidades para perfilar hosts comprometidos
- ServiceChanger, un malware que detiene un servicio auténtico específico para descargar una DLL maliciosa incrustada en él utilizando el ejecutable a través de la carga adyacente de DLL
- Charamel Loader, un cargador de malware que descifra y carga bienes internos como CookieTime, CookiePlus y ForestTiger
- CookiePlus, un nuevo software receloso basado en complementos que cargan tanto ServiceChanger como Charamel Loader
«La diferencia entre cada CookiePlus cargado por Charamel Loader y ServiceChanger es la forma en que se ejecuta. El primero se ejecuta solo como una DLL e incluye la información C2 en su sección de bienes», señalaron los investigadores.
«Este postrero recupera lo que está almacenado en un archivo forastero separado como msado.inc, lo que significa que CookiePlus tiene la capacidad de obtener una nómina C2 tanto de un petición interno como de un archivo forastero. De lo contrario, el comportamiento es el mismo».
CookiePlus recibe su nombre del hecho de que estaba disfrazado de un complemento de Notepad++ de código rajado llamado ComparePlus cuando se detectó en la naturaleza por primera vez. En los ataques dirigidos a la entidad relacionada con la energía nuclear, se descubrió que se basaban en otro plan llamado DirectX-Wrappers.
El malware sirve como descargador para recuperar una carga útil cifrada con RSA y codificada en Base64 del servidor C2, que luego se decodifica y descifra para ejecutar tres códigos de shell diferentes o una DLL. Los shellcodes están equipados con funciones para resumir información del sistema y hacer que el módulo principal CookiePlus entre en suspensión durante una cierta cantidad de minutos.
Se sospecha que CookiePlus es el sucesor de MISTPEN oportuno a superposiciones de comportamiento entre las dos familias de malware, incluido el aspecto de que ambas se han disfrazado de complementos de Notepad++.
«A lo desprendido de su historia, el asociación Lazarus ha utilizado sólo una pequeña cantidad de marcos modulares de malware como Mata y Gopuram Loader», dijo Kaspersky. «El hecho de que introduzcan nuevo malware modular, como CookiePlus, sugiere que el asociación trabaja constantemente para mejorar su cantera y sus cadenas de infección para escamotear la detección por parte de los productos de seguridad».
Los hallazgos se producen cuando la firma de inteligencia blockchain Chainalysis reveló que los actores de amenazas afiliados a Corea del Meta han robado 1.340 millones de dólares en 47 hacks de criptomonedas en 2024, frente a 660,50 millones de dólares en 2023. Esto incluyó la violación de mayo de 2024 del intercambio japonés de criptomonedas, DMM Bitcoin, que sufrió una pérdida de 305 millones de dólares en ese momento.
«Desafortunadamente, parece que los ataques criptográficos de la RPDC son cada vez más frecuentes», dijo la compañía. «En particular, los ataques de entre 50 y 100 millones de dólares, y los de más de 100 millones de dólares, ocurrieron con mucha más frecuencia en 2024 que en 2023, lo que sugiere que la RPDC está mejorando y siendo más rápida en ataques masivos».