Lazarus Group, el famoso grupo de ciber delincuentes conocidos por sus supuestos vínculos con el régimen norcoreano, ha creado un nuevo ‘APT Framework’ multiplataforma con el objetivo de infiltrarse en entidades corporativas de todo el mundo, robar bases de datos de clientes y distribuir ‘ransomware‘.
Este ‘framework’ dota a las muestras generadas de la capacidad de atacar a los sistemas operativos Windows, Linux y macOS, El ‘APT framework’ ha sido bautizado con el nombre de MATA y dispone de un sistema de complementos y módulos para una amplia variedad de actividades maliciosas en las maquinas infectadas.
Tal y como informa Kaspersky en su último boletín, la campaña de MATA comenzó a principios de abril de 2018, con los rastreos de ataques a compañías no identificadas en el desarrollo de software, comercio electrónico y proveedores de servicios de Internet ubicados en Polonia, Alemania, Turquía, Corea, Japón e India.
El informe ofrece una visión integral de MATA, a la vez que se basa en evidencias previas recopiladas por investigadores de Netlab 360, Jamf y Malwarebytes en los últimos ocho meses. En el pasado diciembre, Netlab 360 reveló la existencia de un troyano de administración remota (RAT) completamente funcional llamado ‘Dacls’, que estaba dirigido a plataformas Windows y Linux que compartían infraestructura clave con la operada por el Grupo Lazarus. Luego, en mayo, Jamf y Malwarebytes descubrieron una variante macOS de Dacls RAT que se distribuyó a través de una aplicación de autenticación de dos factores ‘troyanizada’ (2FA).
La última versión de MATA para Windows consiste en un ‘loader’ utilizado para cargar un ‘payload’ cifrado y un módulo orquestador (‘lsass.exe’) capaz de cargar 15 complementos adicionales al mismo tiempo y ejecutarlos en la memoria.
Los complementos tienen multitud de funciones, con características que permiten que el malware manipule archivos y procesos del sistema, inyecte archivos DLL y cree un servidor proxy HTTP.
Los complementos de MATA también permiten a los ciberdelincuentes atacar a dispositivos basados en Linux, tales como enrutadores, cortafuegos o dispositivos ‘IoT’ (internet de las cosas). También puede atacar a sistemas macOS al enmascararse como una aplicación 2FA llamada TinkaOTP, que se basa en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP. A nivel empresarial, intentaron localizar las bases de datos de las empresas comprometidas y ejecutar varias consultas para obtener los detalles de los clientes, no está claro el grado de éxito que tuvieron con sus intentos. Además, los investigadores de Kaspersky dijeron que se utilizó MATA para distribuir el ‘ransomware’ VHD a víctimas anónimas, lo que apuntaría a que este ‘APT framework’ podría estar a la venta.
Lazarus agregó el ‘skimming’ web (técnica que consiste en robar información de pago de forma directa desde el navegador) a su repertorio de ataques, dirigido a webs de comercio electronico de EE. UU. y Europa.
Kaspersky fue quien vinculó el ‘APT framework’ MATA con el Grupo Lazarus, basándose en el formato de nombre de archivo único que se encuentra en el orquestador («c_2910.cls» y «k_3872.cls»), que se ha visto anteriormente en varias variantes del malware Manuscrypt .
El Grupo Lazarus, supuestamente patrocinado por el estado de Corea del Norte (también llamado Hidden Cobra o APT38). se ha relacionado con muchas ofensivas cibernéticas importantes , incluido el pirateo de Sony Pictures en 2014, el pirateo bancario SWIFT en 2016 y la infección por ‘ransomware’ WannaCry en 2017.
La inclinación del equipo de ciber delincuentes por llevar a cabo ataques con motivación financiera llevó al ‘U.S. Treasury’ (el Tesoro de los Estados Unidos) a sancionar al grupo y sus dos retoños, Bluenoroff y Andariel, en septiembre pasado.
Más infromación:
Kaspersky https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/
Treasury Sanctions North Korean State-Sponsored Malicious Cyber Groups https://home.treasury.gov/news/press-releases/sm774
Referencias:
North Korean Hackers Spotted Using New Multi-Platform Malware Framework https://thehackernews.com/2020/07/lazarus-north-korean-hackers.html
Deja una respuesta