Al menos seis organizaciones en Corea del Sur han sido atacadas por el prolífico Grupo de Lazarus vinculado a Corea del Norte como parte de una campaña denominado Operación sincronizada.
La actividad se dirigió a las industrias de software, TI, financieros, fabricación de semiconductores y telecomunicaciones de Corea del Sur, según un informe de Kaspersky publicado hoy. La primera evidencia de compromiso se detectó por primera vez en noviembre de 2024.
La campaña implicó una «combinación sofisticada de una estrategia de agujero de riego y una explotación de vulnerabilidad dentro del software de Corea del Sur», dijeron los investigadores de seguridad Sojun Ryu y Vasily Berdnikov. «También se usó una vulnerabilidad de un día en el agente de Innorix para el movimiento lateral».
Se han observado los ataques allanando el camino para las variantes de herramientas conocidas de Lázaro como amenazas, Agamenón, Wagent, SignBT y CopperHedge.
Lo que hace que estas intrusiones sean particularmente efectivas es la probable explotación de una vulnerabilidad de seguridad en Cross EX, un software legítimo que prevalece en Corea del Sur para permitir el uso de software de seguridad en los sitios web de banca en línea y gubernamentales para admitir las firmas digitales antia-kilogging y certificados.
«El Grupo Lazarus muestra una fuerte comprensión de estos detalles y está utilizando una estrategia dirigida a Corea del Sur que combina vulnerabilidades en tal software con ataques de agujeros de riego», dijo el proveedor de seguridad cibernética rusa.
La explotación de una falla de seguridad en el agente de Innorix para el movimiento lateral es notable por el hecho de que el subgrupo de Andariel del Grupo Lázaro también ha adoptado un enfoque similar para entregar malware como Volgmer y Andardoor.
El punto de partida de la última ola de ataques es un ataque de agujero de riego, que activó el despliegue de amenazas después de que los objetivos visitaron varios sitios de medios en línea de Corea del Sur. Los visitantes que aterrizan en los sitios se filtran utilizando un script del lado del servidor antes de redirigirlos a un dominio controlado por el adversario para servir al malware.
«Evaluamos con la confianza media de que el sitio redirigido puede haber ejecutado un script malicioso, dirigido a un posible defecto en Cross Ex instalado en la PC objetivo y el lanzamiento de malware», dijeron los investigadores. «El script finalmente ejecutó el synchost.
La secuencia de infección se ha observado adoptando dos fases, utilizando amenazas y meneo en las primeras etapas y luego se firma y cobrehedge para establecer persistencia, realizar reconocimiento y entregar herramientas de vertido de credenciales en los hosts comprometidos.
También se implementan familias de malware como LPECLIENT para el perfil de víctimas y la entrega de carga útil, y un descargador denominado Agamemnon para descargar y ejecutar cargas útiles adicionales recibidas desde el servidor de comando y control (C2), al tiempo que incorpora simultáneamente la técnica del infierno para derivar soluciones de seguridad durante la ejecución.
Una carga útil descargada por Agamemnon es una herramienta diseñada para llevar a cabo un movimiento lateral explotando una falla de seguridad en la herramienta de transferencia de archivos de Innorix Agent. Kaspersky dijo que su investigación desenterró un archivo arbitrario adicional descargar vulnerabilidad de día cero en el agente innorix que desde entonces ha sido parcheado por los desarrolladores.
«Se espera que los ataques especializados del Grupo Lázaro dirigen a las cadenas de suministro en Corea del Sur continúen en el futuro», dijo Kaspersky.
«Los atacantes también están haciendo esfuerzos para minimizar la detección mediante el desarrollo de un nuevo malware o mejorando el malware existente. En particular, introducen mejoras en la comunicación con el C2, la estructura del comando y la forma en que envían y reciben datos».
