[20/12/2024] La operación clave de Lazarus -"Operación DreamJob”- sigue evolucionando con nuevas tácticas sofisticadas que han persistido durante más de cinco años, según señaló el Equipo Global de Investigación y Análisis de Kaspersky, en el comunicado de prensa. Los objetivos más recientes incluyen a empleados de una organización relacionada con la energía nuclear, que fueron infectados a través de tres archivos comprometidos que parecían ser pruebas de evaluación de habilidades para profesionales de TI. Esta campaña en curso aprovecha una serie de programas maliciosos avanzados, incluyendo una puerta trasera modular recientemente descubierta, CookiePlus, que fue disfrazada como un plugin de código abierto.
"El GReAT de Kaspersky descubrió una nueva campaña vinculada a la tristemente célebre Operación DreamJob, también conocida como DeathNote, un clúster asociado al conocido grupo Lazarus. A lo largo de los años, esta campaña ha evolucionado significativamente, surgiendo inicialmente en el 2019, con ataques dirigidos a negocios relacionados con criptocurrency en todo el mundo. Durante el 2024, se ha expandido para dirigirse a empresas de TI y defensa en toda Europa, América Latina, Corea del Sur y África. El último informe de Kaspersky proporciona nuevos datos sobre una fase reciente de su actividad, revelando una campaña dirigida a empleados que trabajan en la misma organización relacionada con la energía nuclear en Brasil, así como a empleados de un sector no identificado en Vietnam”, comentó Sojun Ryu, experto en seguridad del Equipo Global de Investigación y Análisis de Kaspersky.
El analista anotó que, en el transcurso de un mes, al menos dos empleados de la misma organización fueron objetivo de Lazarus, recibiendo múltiples archivos de evaluación de habilidades para puestos de TI en importantes empresas aeroespaciales y de defensa. "Inicialmente, Lazarus envió el primer archivo a los servidores A y B de la misma organización y, al cabo de un mes, intentó ataques más agresivos contra el primer objetivo. Probablemente utilizaron plataformas de búsqueda de empleo como LinkedIn para entregar las instrucciones iniciales y obtener acceso a los objetivos”.
Ryu explicó que Lazarus ha evolucionado sus métodos de distribución y ha mejorado su persistencia a través de una compleja cadena de infección que incluye varios tipos de malware, como un descargador, un cargador y un backdoor. "Lanzaron un ataque en varias fases utilizando software VNC troyanizado, un visor de escritorio remoto para Windows y otra herramienta VNC legítima para distribuir el malware. La primera etapa incluía un AmazonVNC.exe troyanizado, que desencriptó y ejecutó un descargador llamado Ranid Downloader para extraer recursos internos del ejecutable VNC. Un segundo archivo contenía un vnclang.dll malicioso que cargaba el malware MISTPEN, que a su vez obtenía cargas útiles adicionales, como RollMid y una nueva variante de LPEClient”.
Además, agregó el especialista, desplegaron un backdoor oculto basado en plugins que los expertos de GReAT denominaron CookiePlus. "Estaba camuflado como ComparePlus, un plugin de código abierto de Notepad++. Una vez instalado, el malware recopila datos del sistema, como el nombre de la computadora, el ID del proceso y las rutas de los archivos, y hace que su módulo principal "duerma” durante un tiempo determinado. También ajusta su programa de ejecución modificando un archivo de configuración.
"Existen riesgos sustanciales, incluyendo el robo de datos, ya que la Operación DreamJob recopila información sensible del sistema que podría ser utilizada para el robo de identidad o espionaje. La capacidad del malware para retrasar sus acciones le permite eludir la detección en el momento de la penetración y persistir más tiempo en el sistema. Al establecer tiempos de ejecución específicos, puede operar a intervalos que podrían evitar ser detectados. Además, el malware podría manipular los procesos del sistema, lo que dificultaría su detección y podría provocar más daños o la explotación del sistema”, finalizó Ryu.
Franca Cavassa, CTOPerú