Nueva campaña de ciberataques del grupo norcoreano Lazarus

Investigadores de la compañía de ciberseguridad WithSecure han descubierto una campaña de ciberataques procedente del Grupo Lazarus, conjunto asentado en Corea del Norte responsable de frecuentes ataques cibernéticos que tiene como objetivo tanto empresas privadas como organismos públicos y Estados.

El ataque pudo ser descubierto gracias a un error en un presunto ataque de ransomware sobre una organización que estaba protegida por WithSecure Elements, la plataforma de seguridad en la Nube de esta empresa. Tras descartar el ataque de ransomware pudo determinarse que detrás se encontraba el Grupo Lazarus.

Dicho ataque tenía entre sus objetivos empresas de investigación sanitaria, fabricantes de tecnología vinculados a sectores como el energético y el de defensa, del departamento de ingeniería química de una importante universidad.

A diferencia de otros ataques procedentes del Grupo Lazarus la investigación de esta nueva campaña ha detectado las siguientes novedades:

• Uso de nueva infraestructura con direcciones IP sin nombres de dominio.
• Versión modificada del malware Dtrack, empleado para robo de información tanto por el Grupo Lazarus como por otro grupo de ciberatacantes vinculado también a Corea del Norte, el grupo Kimsuky.
• Nueva versión del malware GREASE que permite crear nuevas cuentas de administrador capaces de eludir los cortafuegos y de establecer privilegios de protocolo de escritorio remoto.