Ciberataque desde Corea del Norte utilizando un paquete de software malicioso
Recientemente, se
ha observado una actividad de ciberdelitos vinculada con el grupo APT proveniente
de Corea Del Norte llamado “Lazarus”. Durante
los últimos años este grupo de hackers ha estado detrás de grandes robos de criptomonedas,
datos e información, siendo las más afectadas compañías
proveedoras de internet, software y de comercio electrónico.
Utilizando tácticas
de BYOVD (Bring Your Own Vulnerable Drive - Trae tú propio controlador
vulnerable) en campañas de correo electrónico dirigidos a objetivos específicos
(spear-phishing), este grupo de ciberdelincuentes ha enfocado sus ataques a víctimas
de diferentes ámbitos alrededor del mundo; como expertos de instituciones
aeroespaciales en Holanda o abogados políticos de Bélgica, entre otros. Los correos tenían como temática de engaño
ofertas de trabajo emitidas desde Amazon, los cuales contenían archivos
adjuntos, parecidos a documentos con textos, que una vez descargados podían
disparar la ejecución de una plantilla remota desde una dirección codificada,
con la finalidad de infectar el sistema con un software malicioso que permitía
comprometer el dispositivo.
Un ataque BYOVD ocurre
cuando el actor malicioso carga un controlador vulnerable a exploits en Windows
como si fuera válido y firmado formalmente. Con la existencia de una
vulnerabilidad, el atacante puede obtener acceso de lectura y escritura de la
memoria kernel asignada para los controladores, pudiendo deshabilitar
mecanismos de registro de actividad, creación de procesos, seguimiento de
eventos, entre otros, que dejan sin visión a los sistemas de seguridad que
tenga instalado el dispositivo, convirtiéndose en un ataque que puede generar
grandes impactos en los datos de la red atacada. Esto partió como una forma de engañar a los
sistemas anti-cheat (anti-trampas) en los video juegos, pero rápidamente se
movió a otros ámbitos digitales.
En el caso
particular de estos ataques, la vulnerabilidad utilizada se documenta como
CVE-2021-21551, vinculada a una serie de 5 debilidades en el controlador de
hardware de Dell “dbutil_2_3.sys”,
explotadas por 12 años, hasta que fue parcheada con actualizaciones de
seguridad.
Desde Arkavia
Networks recomiendan prevenir este tipo de ataques a través de la actualización
permanente de los sistemas, versiones de software, herramientas de seguridad de
EndPoint y manteniendo una educación en los usuarios del correo electrónico,
con la finalidad de identificar delitos como Phishing. Aplica las siguientes conductas para evitar pérdidas:
- No abrir correos electrónicos de dominios no conocidos por usted y
de remitentes desconocidos.
- No descargar archivos adjuntos de correos electrónicos de procedencia dudosa.
- Mantener actualizado los programas y sistema operativo.
Para el caso de una
organización, es ventajoso tener un software de antivirus corporativo que
detecte firmas maliciosas y responda a la detección de comportamientos
sospechosos (EDR), así como poseer un software que proporcione el servicio de
escanear vulnerabilidades en toda la plataforma de la organización.
Referencia: Lazarus Group Uses FudModule Rootkit to Abuse Dell Driver Bug
COMENTARIOS