Ciberseguridad 360 | Los piratas informáticos BlueNoroff APT utilizan nuevas formas de eludir la protección MotW de Windows

Se ha observado que BlueNoroff , un subcl�ster del notorio Lazarus Group, adopta nuevas t�cnicas en su libro de jugadas que le permiten eludir las protecciones de Windows Mark of the Web ( MotW ).

Esto incluye el uso de formatos de archivo de imagen de disco �ptico (extensi�n .ISO) y disco duro virtual (extensi�n .VHD) como parte de una nueva cadena de infecci�n, revel� Kaspersky en un informe publicado hoy.

"BlueNoroff cre� numerosos dominios falsos haci�ndose pasar por empresas de capital de riesgo y bancos", dijo el investigador de seguridad Seongsu Park , y agreg� que el nuevo procedimiento de ataque se marc� en su telemetr�a en septiembre de 2022.

Se ha descubierto que algunos de los dominios falsos imitan a ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group, la mayor�a de los cuales se encuentran en Jap�n, lo que indica un "gran inter�s" en la regi�n.

Tambi�n llamado por los nombres APT38, Nickel Gladstone y Stardust Chollima, BlueNoroff es parte del grupo de amenazas m�s grande de Lazarus que tambi�n incluye a Andariel (tambi�n conocido como Nickel Hyatt o Silent Chollima) y Labyrinth Chollima (tambi�n conocido como Nickel Academy).

Las motivaciones financieras del actor de amenazas en oposici�n al espionaje lo han convertido en un actor de estado-naci�n inusual en el panorama de amenazas, lo que permite una "dispersi�n geogr�fica m�s amplia" y le permite infiltrarse en organizaciones en Am�rica del Norte y del Sur, Europa, �frica y Asia.

Desde entonces, se ha asociado con ataques cibern�ticos de alto perfil dirigidos a la red bancaria SWIFT entre 2015 y 2016, incluido el audaz atraco al Banco de Bangladesh en febrero de 2016 que condujo al robo de $ 81 millones .

Desde al menos 2018, BlueNoroff parece haber experimentado un cambio t�ctico, alej�ndose de los bancos en huelga para centrarse �nicamente en las entidades de criptomonedas para generar ingresos il�citos.

Con ese fin, Kaspersky a principios de este a�o revel� detalles de una campa�a denominada SnatchCrypto orquestada por el colectivo adversario para drenar los fondos digitales de las billeteras de criptomonedas de las v�ctimas.

Otra actividad clave atribuida al grupo es AppleJeus , en la que se establecen compa��as de criptomonedas falsas para atraer a v�ctimas involuntarias para que instalen aplicaciones de apariencia benigna que eventualmente reciben actualizaciones de puerta trasera.

La �ltima actividad identificada por la empresa rusa de ciberseguridad introduce ligeras modificaciones para transmitir su carga �til final, intercambiando archivos adjuntos de documentos de Microsoft Word por archivos ISO en correos electr�nicos de phishing para desencadenar la infecci�n.

Estos archivos de imagen �ptica, a su vez, contienen una presentaci�n de diapositivas de Microsoft PowerPoint (.PPSX) y un script de Visual Basic (VBScript) que se ejecuta cuando el objetivo hace clic en un v�nculo del archivo de PowerPoint.

En un m�todo alternativo, se inicia un archivo por lotes de Windows con malware mediante la explotaci�n de un binario living-off-the-land (LOLBin) para recuperar un descargador de segunda etapa que se usa para obtener y ejecutar una carga �til remota.

Kaspersky tambi�n descubri� una muestra .VHD que viene con un archivo PDF de descripci�n de trabajo de se�uelo que est� armado para generar un descargador intermedio que se hace pasar por un software antivirus para obtener la carga �til de la siguiente etapa, pero no antes de deshabilitar las soluciones EDR genuinas eliminando eliminar usuario- ganchos de modo .

Si bien la puerta trasera entregada no est� clara, se considera que es similar a una puerta trasera de persistencia utilizada en los ataques de SnatchCrypto.

El uso de nombres de archivo japoneses para uno de los documentos se�uelos, as� como la creaci�n de dominios fraudulentos disfrazados de compa��as de capital de riesgo japonesas leg�timas, sugiere que las firmas financieras en el pa�s insular probablemente sean un objetivo de BlueNoroff.

La guerra cibern�tica ha sido un foco importante de Corea del Norte en respuesta a las sanciones econ�micas impuestas por varios pa�ses y las Naciones Unidas por preocupaciones sobre sus programas nucleares. Tambi�n se ha convertido en una importante fuente de ingresos para el pa�s con problemas de liquidez.

De hecho, seg�n el Servicio de Inteligencia Nacional (NIS) de Corea del Sur, se estima que los piratas inform�ticos norcoreanos patrocinados por el estado han robado USD 1200 millones en criptomonedas y otros activos digitales de objetivos en todo el mundo durante los �ltimos cinco a�os.

"Este grupo tiene una fuerte motivaci�n financiera y, de hecho, logra obtener ganancias de sus ataques cibern�ticos", dijo Park. "Esto tambi�n sugiere que es poco probable que los ataques de este grupo disminuyan en un futuro pr�ximo".

Fuente: THN.