Al menos seis organizaciones en Corea del Sur han sido atacadas por el prolífico Conjunto de Lazarus vinculado a Corea del Meta como parte de una campaña denominado Operación sincronizada.
La actividad se dirigió a las industrias de software, TI, financieros, fabricación de semiconductores y telecomunicaciones de Corea del Sur, según un noticia de Kaspersky publicado hoy. La primera evidencia de compromiso se detectó por primera vez en noviembre de 2024.
La campaña implicó una “combinación sofisticada de una logística de agujero de riego y una explotación de vulnerabilidad adentro del software de Corea del Sur”, dijeron los investigadores de seguridad Sojun Ryu y Vasily Berdnikov. “Asimismo se usó una vulnerabilidad de un día en el agente de Innorix para el movimiento colateral”.
Se han observado los ataques allanando el camino para las variantes de herramientas conocidas de Lázaro como amenazas, Agamenón, Wagent, SignBT y CopperHedge.
Lo que hace que estas intrusiones sean particularmente efectivas es la probable explotación de una vulnerabilidad de seguridad en Cross EX, un software cierto que prevalece en Corea del Sur para permitir el uso de software de seguridad en los sitios web de banca en semirrecta y gubernamentales para reconocer las firmas digitales antia-kilogging y certificados.
“El Conjunto Lazarus muestra una resistente comprensión de estos detalles y está utilizando una logística dirigida a Corea del Sur que combina vulnerabilidades en tal software con ataques de agujeros de riego”, dijo el proveedor de seguridad cibernética rusa.
La explotación de una error de seguridad en el agente de Innorix para el movimiento colateral es trascendental por el hecho de que el subgrupo de Andariel del Conjunto Lázaro todavía ha acogido un enfoque similar para entregar malware como Volgmer y Andardoor.
El punto de partida de la última ola de ataques es un ataque de agujero de riego, que activó el despliegue de amenazas posteriormente de que los objetivos visitaron varios sitios de medios en semirrecta de Corea del Sur. Los visitantes que aterrizan en los sitios se filtran utilizando un script del costado del servidor antiguamente de redirigirlos a un dominio controlado por el adversario para servir al malware.
“Evaluamos con la confianza media de que el sitio redirigido puede poseer ejecutado un script ladino, dirigido a un posible defecto en Cross Ex instalado en la PC objetivo y el dispersión de malware”, dijeron los investigadores. “El script finalmente ejecutó el synchost.
La secuencia de infección se ha observado adoptando dos fases, utilizando amenazas y meneo en las primeras etapas y luego se firma y cobrehedge para establecer persistencia, realizar registro y entregar herramientas de residuos de credenciales en los hosts comprometidos.
Asimismo se implementan familias de malware como LPECLIENT para el perfil de víctimas y la entrega de carga útil, y un descargador denominado Agamemnon para descargar y ejecutar cargas enseres adicionales recibidas desde el servidor de comando y control (C2), al tiempo que incorpora simultáneamente la técnica del abismo para derivar soluciones de seguridad durante la ejecución.
Una carga útil descargada por Agamemnon es una aparejo diseñada para sufrir a punta un movimiento colateral explotando una error de seguridad en la aparejo de transferencia de archivos de Innorix Agent. Kaspersky dijo que su investigación desenterró un archivo abusivo adicional descargar vulnerabilidad de día cero en el agente innorix que desde entonces ha sido parcheado por los desarrolladores.
“Se retraso que los ataques especializados del Conjunto Lázaro dirigen a las cadenas de suministro en Corea del Sur continúen en el futuro”, dijo Kaspersky.
“Los atacantes todavía están haciendo esfuerzos para minimizar la detección mediante el explicación de un nuevo malware o mejorando el malware existente. En particular, introducen mejoras en la comunicación con el C2, la estructura del comando y la forma en que envían y reciben datos”.
