WithSecure vincula una campaña de ciberataques a Grupo Lazarus
Los investigadores de seguridad de WithSecure vinculan una campaña de ciberataques al conocido Grupo Lazarus de Corea del Norte, gracias en parte a un error de seguridad operativa por parte de un atacante. Se sospecha de la existencia de esta campaña después que se detectara un presunto ataque de ransomware en una organización protegida por la plataforma de seguridad nativa en la nube WithSecure Elements.
Aunque en un principio se sospechó que se trataba de un intento de ataque de ransomware BianLian, las pruebas que recogimos apuntaron rápidamente en otra dirección. Y a medida que recopilábamos más pruebas, nos llevó a concluir con seguridad que se trataba del Grupo Lazarus, explica Sami Ruohonen, investigador senior de inteligencia de amenazas de WithSecure.
Los objetivos de la campaña identificados por los investigadores incluían:
-
- el departamento de ingeniería química de una importante universidad de investigación
- una organización de investigación sanitaria
- un fabricante de tecnología usada en los sectores de la energía
A su vez, los investigadores descubren novedades en esta campaña de ciberataques del Grupo Lazarus en comparación con su actividad anterior:
-
- Una nueva versión del malware GREASE que permite a los atacantes crear nuevas cuentas de administrador con privilegios de protocolo de escritorio remoto que eluden los cortafuegos.
- El uso de nueva infraestructura, incluida la dependencia exclusiva de direcciones IP sin nombres de dominio.
- Una versión modificada del malware de robo de información Dtrack, utilizado por Lazarus y Kimsuky (otro grupo asociado con Corea del Norte) en ataques anteriores.
Fuente: http://bit.ly/3Y7hfkF
