Lazarus Group se hace pasar por reclutador de Meta para atacar a una empresa aeroespacial española

Lazarus Group se hace pasar por reclutador de Meta para atacar a una empresa aeroespacial española

El grupo vinculado a Corea del Norte, conocido como Lazarus Group, ha sido asociado a un ataque de ciberespionaje dirigido a una empresa aeroespacial no identificada en España. En este ataque, los empleados de la empresa fueron contactados por el actor de amenazas que se hacía pasar por un reclutador de Meta.

Los empleados de la empresa objetivo fueron contactados por un falso reclutador a través de LinkedIn y engañados para abrir un archivo ejecutable malicioso que se presentaba como un desafío de codificación o quiz. Este ataque es parte de una campaña de spear-phishing de larga duración llamada "Operation Dream Job", orquestada por el grupo de hackers con el objetivo de atraer a empleados que trabajan en objetivos prospectivos de interés estratégico, ofreciéndoles oportunidades laborales lucrativas para activar la cadena de infección.

En marzo, se detalló un ataque dirigido a usuarios de Linux que involucraba ofertas de trabajo falsas de HSBC para lanzar un backdoor llamado SimplexTea. El objetivo final de la última intrusión, diseñada para sistemas Windows, es la implementación de un implante denominado LightlessCan.

El aspecto más preocupante del ataque es el nuevo tipo de carga útil, LightlessCan, una herramienta compleja y posiblemente en evolución que muestra un alto nivel de sofisticación en su diseño y operación. Representa un avance significativo en capacidades maliciosas en comparación con su predecesor, BLINDINGCAN, un malware rico en características capaz de recolectar información sensible de los hosts infiltrados.

El ataque comenzó cuando el objetivo recibió un mensaje en LinkedIn de un falso reclutador que trabajaba para Meta Platforms. Luego, se enviaron dos desafíos de codificación como parte del supuesto proceso de contratación y se convenció a la víctima de ejecutar los archivos de prueba alojados en una plataforma de almacenamiento en la nube de terceros. Estos archivos, que contenían binarios maliciosos, se descargaron y ejecutaron en un dispositivo proporcionado por la empresa, lo que resultó en la auto-compromisión del sistema y la violación de la red corporativa.

El ataque abre el camino para un descargador HTTP(S) llamado NickelLoader, que permite a los atacantes implementar cualquier programa deseado en la memoria de la computadora de la víctima, incluido el troyano de acceso remoto LightlessCan y una variante de BLINDINGCAN llamada miniBlindingCan.

LightlessCan viene equipado con soporte para hasta 68 comandos distintos, aunque en su versión actual, solo 43 de esos comandos están implementados con alguna funcionalidad. Una característica notable de la campaña es el uso de guardias de ejecución para evitar que las cargas útiles sean descifradas y ejecutadas en cualquier otra máquina que no sea la de la víctima prevista.

El Grupo Lazarus y otros grupos de amenazas originarios de Corea del Norte han sido prolíficos en los últimos meses, habiendo realizado ataques que abarcan sectores de fabricación y bienes raíces en India, empresas de telecomunicaciones en Pakistán y Bulgaria, y contratistas gubernamentales, de investigación y defensa en Europa, Japón y EE. UU.

SimplexTea: Es un backdoor dirigido a usuarios de Linux que fue utilizado en ataques de ciberespionaje. Fue empleado en combinación con ofertas de trabajo falsas de HSBC para infiltrarse en sistemas.

NickelLoader: Es un descargador HTTP(S) utilizado en ciberataques. Permite a los atacantes implementar cualquier programa deseado en la memoria de la computadora de la víctima, facilitando la introducción de malware como LightlessCan y miniBlindingCan.