Grupo cibercriminal norcoreano Lazarus atacó a contratistas de defensa, a través de redes sociales

139 vistas
lectura 2 mins

Los ataques detectados afectaron a contratistas de defensa entre finales de 2021 y marzo de 2022. Esta operación fue bautizada por ESET con el nombre de ‘In(ter)ception’.

El grupo de cibercriminales Lazarus dirige su ofensiva contra contratistas del sector aeroespacial y de defensa en todo el mundo a través de redes sociales como LinkedIn, WhatsApp y Slack.

Los investigadores de la compañía de software especializada en ciberseguridad ESET han presentado una nueva investigación sobre el grupo de ciberdelincuentes Lazarus, vinculado con el régimen norcoreano, durante la conferencia anual de la entidad, ESET World.

El informe ha sido presentado por el director del departamento de ESET dedicado a la investigación de amenazas, Jean-Ian Boutin, quien ha repasado los ataques llevados a cabo por el grupo contra contratistas de defensa entre finales de 2021 y marzo de 2022.

Los ataques más relevantes de Lazarus registrados por la telemetría de ESET en esas fechas se centraron tanto en compañías europeas situadas en España, Francia, Italia, Alemania, Países Bajos, Polonia y Ucrania, como en latinoamericanas, en el caso de Brasil.

A principios de 2020, los investigadores de ESET ya alertaron sobre una campaña lanzada por un subgrupo de Lazarus contra contratistas de los sectores de defensa y aeroespacial de Europa.

La operación, que recibió de ESET el nombre de ‘In(ter)ception’, se desmarcó del resto por su utilización de las redes sociales, como LinkedIn. Gracias a ellas, los atacantes se ganaban la confianza de sus víctimas, a los que enviaban malwares enmascarados como descripciones y solicitudes de empleo.

Las compañías afectadas en aquel entonces eran de Brasil, República Checa, Catar, Turquía y Ucrania. En un primer momento, los investigadores pensaron que el ataque estaba dirigido únicamente a las empresas europeas, pero concluyeron que la campaña era mucho mayor, al rastrear a varios subgrupos de Lazarus que realizaron ataques muy similares.

Los tipos de malware empleados variaban según la campaña, pero la estrategia de los atacantes era siempre la misma: un falso reclutador que contacta a un potencial empleado a través de LinkedIn al que, eventualmente, envía un programa malicioso.

ESET afirma que Lazarus ha continuado utilizando esta estrategia y, además, que han incorporado elementos de campañas de contratación legítimas para proyectar una apariencia de mayor veracidad ante sus víctimas.

El grupo de cibercriminales ha llevado sus tácticas más allá de LinkedIn y, según los investigadores, han utilizado también aplicaciones y programas como WhatsApp y Slack en sus campañas.

La investigación destaca que, pese a que el objetivo principal de Lazarus es el ciberespionaje, el grupo también ha intentado, sin éxito, exfiltrar datos a cambio de dinero. Para ello, han utilizado varias herramientas como, por ejemplo, un modo de usuario capaz de aprovechar un controlador vulnerable de Dell y así escribir en la memoria ‘kernel’ del equipo. De esta manera, pretendían eludir su seguridad.

Hola 👋
Qué bueno que nos visitas

Regístrate para recibir nuestro newsletter cada semana

close

Hola 👋
Qué bueno que nos visitas

Regístrate para recibir nuestro newsletter cada semana

Lo más reciente de Noticias