Una encuesta sobre ataques recientes del Grupo Lazarus en Corea del Norte sobre entidades de criptomonedas y desarrolladores de software de todo el mundo reveló una capa administrativa oculta que el actor de amenaza utilizó para administrar la infraestructura de comando (C2) centralizada de la campaña.
La investigación de los investigadores de SecursCorecard ha demostrado que Lázaro que usa la infraestructura recientemente descubierta para mantener la vigilancia directa en los sistemas de compromiso, controlar la entrega de la carga útil en ellos y administrar efectivamente los datos exfiltrados. Significativamente, el actor de amenaza utiliza la misma plataforma de administración web en otras campañas, incluida una que involucra la identidad de los trabajadores de TI, reveló el proveedor de seguridad.
Seguridad operativa desarrollada
Aunque el actor de amenaza ha implementado medidas de seguridad operativas desarrolladas para tratar de escapar de la atribución, SecursCorecard dijo que podría haber unido la campaña y la infraestructura a Corea del Norte con un alto grado de confianza.
“[The] El análisis muestra que Lázaro está orquestando una operación global dirigida a la industria de las criptomonedas y los desarrolladores del mundo Un informe esta semana. “Las campañas han llevado a cientos de víctimas a descargar y ejecutar las cargas útiles, mientras que, en el fondo, los datos exfiltrados volvían a Pyongyang”.
SecurityScorecard descubrió “Circuito Phantom”, el nombre por el cual sigue la capa de administración recientemente descubierta del Grupo Lazare, mientras realiza investigaciones de seguimiento que involucran “Operación 99“Una campaña maliciosa que recientemente reveló dirigida a la industria de las criptomonedas y los desarrolladores de todo el mundo. En el campoLos miembros del grupo de amenazas se presentaron como reclutadores en LinkedIn y otros foros de trabajo en línea para llevar a los desarrolladores de software a participar en las pruebas de proyectos parasitarios y las opiniones de código.
Las víctimas que caen en la estafa están destinadas a clonar un código abierto referencial de GitHub aparentemente benigno pero dañino. El punto de referencia clonado se conecta a la infraestructura C2 del Grupo Lazarus, que el actor de amenaza usó para obstaculizar el malware que roba datos del entorno de la víctima. Como parte de la campaña, los actores del Grupo Lazarus insertaron plazos oscurecidos en productos de software legítimos, incluidas aplicaciones de autenticación y software de criptomonedas, y tratando de alentar a los desarrolladores a administrarlos en su entorno. SecurityScorecard estima que más de 230 víctimas han descargado los útiles cargos maliciosos de la última campaña de la amenaza de Corea del Norte.
Doble motivaciones
“La motivación es doble: el vuelo de la criptomoneda y la infiltración de redes corporativas”, dijo Ryan Sherstobitoff, vicepresidente principal de inteligencia de amenazas en SecurityScorecard. La mayoría de las veces, los desarrolladores que son víctimas del señuelo del Grupo Lazare terminan ejecutando el código clonado en sus dispositivos corporativos y en sus entornos de trabajo. “Los cargos útiles están diseñados para exfiltrar secretos de desarrollo”, dijo.
SecurityScorecard descubrió la capa de la administración de Circuito Ghost cuando intentaba comprender cómo los actores de Lázaro administraron la información que robaron a través de la Operación 99. Lo que la compañía descubrió que eran los miembros de Lazarus al usar lo que describió como una sofisticada red VPN y Astrill Proxy para acceder a La infraestructura C2 de la Operación 99 99 de una manera muy oculta. Astranteque tiene servidores VPN en 142 ciudades y 56 países, tiene la reputación de permitir a los usuarios viajar por la web de forma anónima y evitar restricciones en Internet en los países de alta censura.
Los investigadores de seguridad han encontrado que los miembros de Lázaro que usan Astrill VPN para conectarse a una red de representantes intermedios registrados con una compañía de carga en Hasan, Rusia. Luego usaron la red proxy para conectarse a la infraestructura C2 de la Operación 99 en un elaborado intento de tratar de ocultar sus pistas. Los servidores C2 mismos fueron alojados en infraestructura registrada con una “Industria Stark Industries, LLC” ficticia.
“[SecurityScorecard] Evalúa con gran confianza en que los IP solían conectarse a C2S eran solo un relevo / proxy y se usaron para oscurecer el origen real “, escribió la compañía en su informe esta semana”. El oponente estableció una sesión secundaria después de estar conectado a VPN con el proxy, oscureciendo así el origen real de su entrada. “Sesurescorecard dijo que pudo identificar un total de seis direcciones IP separadas en Pyongyang que el actor de amenaza utilizó para iniciar conexiones VPN Astrill a la red C2 de la Operación 99.
“Circuito fantasma [is the] Red operativa detrás de escena que trae de vuelta directamente a Pyongyang, dice Sherstobitoff. Trabajadores de computadoras usurpados Para tratar de conseguir trabajo en las organizaciones, querían infiltrarse.