bienvenido a t-cert
Se ha descubierto y analizado un conjunto de herramientas maliciosas que fueron utilizadas por el grupo de APT Lazarus en ataques que se llevaron adelante entre septiembre y noviembre de 2021. La campaña comenzó con correos electrónicos de spearphishing que contenían documentos maliciosos y que utilizaban la imagen de Amazon. Estos correos estaban dirigidos a un empleado de una empresa aeroespacial en Países Bajos y a un periodista político en Bélgica.
El objetivo principal de los atacantes era la exfiltración de datos. Lazarus (también conocido como HIDDEN COBRA) es un grupo de APT que ha estado activo desde al menos 2009. Es responsable de ataques a compañías de alto perfil, como fue el ciberataque a Sony Pictures Entertainment y el robo de decenas de millones de dólares en 2016, también del brote del ransomware WannaCryptor (también conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra Infraestructura crítica y pública de Corea del Sur desde al menos 2011.
En ambos casos el contacto comenzó a través de ofertas de trabajo: el empleado en los Países Bajos recibió un archivo adjunto a través de LinkedIn Messaging y la persona en Bélgica recibió un documento por correo electrónico. Los ataques comenzaron después de que se abrieron estos documentos. Los atacantes desplegaron varias herramientas maliciosas en cada sistema, incluidos droppers, loaders, backdoors HTTP(S) que ofrecen múltiples funciones, uploaders y downloaders HTTP(S). El punto en común entre los droppers es que son proyectos de código abierto troyanizados que descifran el payload embebido utilizando cifradores de bloque modernos con claves largas pasadas como argumentos de línea de comando. En muchos casos, los archivos maliciosos son componentes DLL que fueron descargados por archivos EXE legítimos, pero desde una ubicación inusual en el sistema de archivos.
La herramienta más interesante que utilizaron los atacantes fue un módulo de modo de usuario que les permitió la habilidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo. Este es el primer caso registrado de explotación de esta vulnerabilidad en una campaña. Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta.
En este artículo explicamos el contexto de la campaña y cómo fue que los actores maliciosos lograron el acceso inicial, pero en la versión en inglés de esta publicación compartimos el análisis técnico completo detallando todos los componentes utilizados por Lazarus.
Esta investigación se presentó en la conferencia Virus Bulletin de este año. Debido a su originalidad, el enfoque principal de la presentación estuvo en el componente malicioso utilizado en este ataque que utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD) y aprovecha la vulnerabilidad CVE-2021-21551 mencionada anteriormente. Información más detallada está disponible en el white paper Lazarus & BYOVD: Evil to the Windows core.
Atribuimos estos ataques a Lazarus con mucha confianza a partir de los módulos específicos, el certificado de firma de código y el enfoque de intrusión en común con campañas anteriores de Lazarus, como Operation In(ter)ception y Operation DreamJob. La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como el hecho de lleva adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y búsqueda de ganancias financieras.
.jpg){kind=small}