Hackers norcoreanos lanzan un ataque usando Windows Update y GitHub

Porque importa: El Equipo de Inteligencia de Amenazas de Malwarebytes ha emitido una nueva advertencia a los usuarios con respecto a una amenaza identificada recientemente por el grupo de piratería norcoreano Lazarus. El ataque utiliza documentos falsos con macros incrustadas diseñadas para parecerse a la información de ocupación de Lockheed Martin. Una vez que se ejecuta la macro, el exploit usa Windows Update y GitHub para entregar cargas útiles e infectar a los usuarios desprevenidos.

La organización patrocinada por el estado, de la que ya se sospechaba en ataques anteriores como WannaCry y numerosos ataques a los medios estadounidenses, fue descubierta usando Windows Update para entregar cargas maliciosas mientras usaba GitHub como su servidor principal de comando y control (C2). Los ataques siguieron vagamente a la anterior campaña de trabajo de ensueño del grupo, que se dirigía a organizaciones e individuos específicos en los sectores de defensa, aeroespacial y contratación pública civil.

El ataque de spear phishing usó dos documentos de MS Word de Tinder con macros incrustadas (Lockheed_Martin_JobOpportunities.docx y Salary_Lockheed_Martin_job_opportunities_confidential.doc) que fueron diseñados para aparecer como información válida de anuncios de trabajo de Lockheed Martin.. Una vez que un usuario desprevenido ejecuta las macros maliciosas, el paquete de malware completa una serie de inyecciones en el sistema de destino para garantizar la persistencia entre los arranques de la máquina de destino.

Esto podría estar relacionado con #Lázaro #APTO
– Contiene macros (Frame1_Layout)
– Coloque un archivo lnk en el directorio de inicio (WindowsUpdateConf.lnk)

– Cree un directorio oculto de Windows / System32 y libere wuaueng.dll (aunque el dll parece benigno)
– Lnk usa wuauclt.exe para ejecutar pic.twitter.com/KmOz9m5gEr

– Jazi (@h2jazi) 18 de enero de 2022

Una descripción completa del proceso de ataque, así como una discusión detallada de los componentes individuales que componen el ataque, están disponibles en el blog del equipo de inteligencia de amenazas de Malwarebytes Lab. Los investigadores e ingenieros de seguridad de Malwarebytes atribuyeron el ataque a Lazarus en función de las similitudes con los ataques anteriores de la organización norcoreana, como:

• Documentos de oportunidad de trabajo fraudulentos bien diseñados marcados con íconos para contratistas de defensa como Lockheed Martin, Northrop Grumman y Boeing
• Orientación específica de los solicitantes de empleo en las industrias aeroespacial y de defensa
• Similitudes en los metadatos que vinculan la reciente campaña de spear phishing con campañas anteriores similares

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS emitió una Alerta de Amenaza Cibernética de abril de 2020 para brindar orientación formal sobre el negocio cibernético de Corea del Norte. El programa de Recompensas por la Justicia (RFJ, por sus siglas en inglés) del Departamento de Estado también brinda orientación sobre qué tipos de información y actividades deben reportarse. Los consejos calificados que detengan cualquier acción contra el gobierno de los EE. UU. son elegibles para recompensas de hasta $ 5 millones.