Ciberseguridad 360 | El grupo Lazarus expande su arsenal de malware

El actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group ha sido atribuido a una campa�a de ingenier�a social que distribuye tres piezas diferentes de malware multiplataforma llamadas PondRAT, ThemeForestRAT y RemotePE.

El ataque, observado por Fox-IT de NCC Group en 2024, tuvo como objetivo una organizaci�n del sector de finanzas descentralizadas (DeFi), lo que finalmente provoc� la vulneraci�n del sistema de un empleado.

"A partir de ah�, el actor realiz� el descubrimiento desde dentro de la red utilizando diferentes RAT en combinaci�n con otras herramientas, por ejemplo, para recopilar credenciales o conexiones proxy", explicaron Yun Zheng Hu y Mick Koomen . "Posteriormente, el actor cambi� a un RAT m�s sigiloso, lo que probablemente indica una siguiente etapa del ataque".

La cadena de ataque comienza con el actor de amenazas haci�ndose pasar por un empleado existente de una empresa comercial en Telegram y utilizando sitios web falsos haci�ndose pasar por Calendly y Picktime para programar una reuni�n con la v�ctima.

Aunque actualmente se desconoce el vector de acceso inicial exacto, se aprovecha esta posici�n para desplegar un cargador llamado PerfhLoader, que posteriormente instala PondRAT , un malware conocido que se considera una versi�n simplificada de POOLRAT (tambi�n conocido como SIMPLESEA). La empresa de ciberseguridad afirm� que existen pruebas que sugieren que en el ataque se utiliz� un exploit de d�a cero del navegador Chrome, entonces en uso.

Junto con PondRAT tambi�n se entregan otras herramientas, entre las que se incluyen un capturador de pantalla, un keylogger, un ladr�n de credenciales y cookies de Chrome, Mimikatz, FRPC y programas proxy como MidProxy y Proxy Mini.

"PondRAT es una RAT sencilla que permite al operador leer y escribir archivos, iniciar procesos y ejecutar shellcode", declar� Fox-IT, a�adiendo que data de al menos 2021. "El actor us� PondRAT en combinaci�n con ThemeForestRAT durante aproximadamente tres meses, para luego limpiar e instalar la RAT m�s sofisticada llamada RemotePE".

El malware PondRAT est� dise�ado para comunicarse a trav�s de HTTP(S) con un servidor de comando y control (C2) codificado para recibir m�s instrucciones; ThemeForestRAT se ejecuta directamente en la memoria ya sea a trav�s de PondRAT o un cargador dedicado.

ThemeForestRAT, al igual que PondRAT, monitorea nuevas sesiones de Escritorio remoto (RDP) y contacta a un servidor C2 a trav�s de HTTP(S) para recuperar hasta veinte comandos para enumerar archivos/directorios, realizar operaciones con archivos, ejecutar comandos, probar la conexi�n TCP, marcar el tiempo de un archivo en funci�n de otro archivo en el disco, obtener una lista de procesos, descargar archivos, inyectar c�digo de shell, generar procesos e hibernar por una cantidad de tiempo espec�fica.

Fox-IT afirm� que ThemeForestRAT comparte similitudes con un malware con nombre en c�digo RomeoGolf, utilizado por el Grupo Lazarus en el ataque destructivo de noviembre de 2014 contra Sony Pictures Entertainment (SPE). Novetta lo document� como parte de una iniciativa conjunta conocida como Operaci�n Blockbuster .

RemotePE, por otro lado, se recupera de un servidor C2 mediante RemotePELoader, que, a su vez, se carga mediante DPAPILoader. Escrito en C++, RemotePE es una RAT m�s avanzada, probablemente reservada para objetivos de alto valor.

"PondRAT es una RAT primitiva que ofrece poca flexibilidad; sin embargo, como carga �til inicial cumple su prop�sito", afirm� Fox-IT. "Para tareas m�s complejas, el actor utiliza ThemeForestRAT, que ofrece m�s funcionalidad y pasa desapercibido, ya que se carga �nicamente en memoria".

Fuente: TheHackerNews.