Los proveedores de energía de todo el mundo, incluidos Estados Unidos, Canadá y Japón, han sido blanco del grupo de piratas informáticos norcoreano patrocinado por el estado Lazarus, también conocido como APT38.
Según el grupo de inteligencia Talos de Cisco (se abre en una pestaña nueva)la campaña tiene la intención de infiltrarse en organizaciones de todo el mundo con el fin de establecer acceso a largo plazo y, posteriormente, exfiltrar datos de interés para el estado-nación.
Aunque los objetivos precisos no se han identificado, los ataques muestran una vez más la amenaza que Corea del Norte y Lazarus pueden representar a través de los esfuerzos de desestabilización.
¿Cómo funcionó el ataque?
Según Talos, esta campaña involucró la explotación de vulnerabilidades en el producto de escritorio virtual VMWare Horizon para obtener un punto de apoyo inicial en las organizaciones objetivo.
Después de obtener una entrada exitosa en las redes empresariales específicas, el grupo implementó implantes de malware personalizados, incluidos los bots HTML VSingle y YamaBot.
Además de estas familias de malware conocidas, también afirmaron haber descubierto el uso de un implante de malware previamente desconocido llamado «MagicRAT».
Según los informes, la entrada inicial en las organizaciones se realizó utilizando Log4Shell (CVE-2021-44228), una vulnerabilidad de día cero en Log4j, un marco de registro de Java popular, que implica la ejecución de código arbitrario.
La compañía de seguridad cibernética Tenable ha denominado anteriormente a Log4Shell como «la vulnerabilidad más grande y crítica de la historia».
Esta no sería la primera vez que Corea del Norte se ve implicada en ataques contra potencias extranjeras; Los investigadores de seguridad de Kaspersky Lab vincularon a Corea del Norte con el ataque de ransomware Wannacry que inutilizó 300 000 computadoras en 150 países y causó problemas sin precedentes en el NHS del Reino Unido.
Desde que se fundó en 2010, el grupo Lazarus ciertamente se ha mantenido ocupado al menos. Últimamente, ha centrado su atención en el mundo de las cadenas de bloques y las DeFi.
Lazarus se vinculó a un ataque a la cadena lateral Ronin por un valor de $ 615 millones, que impulsa el popular juego Axie Infinity integrado en blockchain, que se conoce como uno de los hacks de DefI más grandes hasta la fecha.
- ¿Tiene miedo de que los piratas informáticos se infiltren en su organización? Consulte nuestra guía sobre la mejor protección para endpoints.