En el siempre cambiante paisaje de la ciberseguridad, las organizaciones se enfrentan a desafíos constantes provenientes de actores malintencionados que buscan explotar vulnerabilidades en los sistemas. Uno de estos actores, conocido como el grupo Lazarus, ha estado en el centro de atención recientemente por una intrusión audaz en una empresa aeroespacial, utilizando un nuevo malware llamado LightlessCann. Este incidente destaca la importancia de mantener una postura de seguridad cibernética robusta y adaptable. En esta ocasión, analizaremos el incidente, el malware involucrado y cómo las empresas pueden fortalecer sus defensas para mitigar tales amenazas.
El Grupo Lazarus, reconocido por sus tácticas sofisticadas y su habilidad para evadir las defensas tradicionales de seguridad, ha llevado a cabo un ataque concertado contra una empresa en la industria aeroespacial. Utilizando una pieza de malware recientemente descubierta, LightlessCann, el grupo pudo infiltrarse en los sistemas de la empresa y potencialmente acceder a información sensible.
También te interesará leer: Hackers iraníes explotan fallas de ManageEngine y Fortinet
Operación de Engaño de Lazarus: Una Intrusión Disfrazada de Oportunidad Laboral
El colectivo de hackers norcoreanos conocido como 'Lazarus' dirigió su artillería cibernética hacia los empleados de una compañía aeroespacial situada en España, ofreciendo ficticias ofertas de trabajo como anzuelo para infiltrarse en la red empresarial mediante una hasta entonces desconocida puerta trasera bautizada 'LightlessCan'.
La estrategia de los ciberdelincuentes se encuadró en su reciente campaña denominada "Operación Dreamjob", que consiste en contactar a sus objetivos a través de LinkedIn, simular un proceso de selección de personal, que en una de sus fases, solicita a la víctima descargar un archivo específico.
Un empleado cayó en la trampa, descargando el archivo en una computadora corporativa, facilitando así la incursión de los hackers norcoreanos en la red de la empresa para llevar a cabo actividades de ciberespionaje.
Te podría interesar leer: Protección de Phishing: No Muerdas el Anzuelo
La firma de seguridad cibernética ESET tomó las riendas de la investigación del incidente, logrando reconstruir el acceso inicial y recuperar varios componentes del arsenal digital de Lazarus, incluyendo la nueva puerta trasera, 'LightlessCan'.
El ataque, desglosado por ESET bajo el nombre de Operación Dreamjob, se inició con un mensaje en LinkedIn proveniente de un individuo que se hizo pasar por un reclutador de Meta (anteriormente Facebook), llamado Steve Dawson.
En fases subsiguientes de la conversación, se solicitó a la víctima demostrar sus habilidades en programación en C++ descargando ciertos cuestionarios proporcionados como archivos ejecutables dentro de imágenes ISO.
Al ejecutar estos archivos, una carga maliciosa adicional contenida en las imágenes ISO fue transferida sigilosamente al equipo de la víctima mediante la técnica de carga lateral de DLL (mscoree.dll), utilizando un programa legítimo (PresentationHost.exe).
Esta carga maliciosa, identificada como el cargador de malware NickelLoader, despliega dos puertas traseras, una versión modificada de BlindingCan con funcionalidades reducidas (denominada miniBlindingCan) y LightlessCan.
Los comandos ejecutables por miniBlindingCan incluyen:
- Transmitir detalles del sistema (nombre del equipo, versión de Windows, página de códigos).
- Modificar el intervalo de comunicación (valor del servidor C2).
- Detener la ejecución de comandos.
- Enviar una configuración de 9392 bytes al servidor C2.
- Actualizar la configuración cifrada de 9392 bytes en el sistema de archivos.
- Aguardar el próximo comando.
- Modificar intervalo de comunicación (desde configuración).
- Descargar y desencriptar archivos del servidor C2.
- Ejecutar el código shell proporcionado.
Este meticuloso y engañoso modus operandi refleja la avanzada sofisticación y el continuo refinamiento en las tácticas de los actores de amenazas. Resalta, además, la importancia de mantener una vigilancia rigurosa y educar al personal sobre las tácticas de ingeniería social utilizadas por los ciberdelincuentes para ganar acceso a las redes corporativas.
Te podría interesar leer: Desvelando el Ataque de Ingeniería Social
Implicaciones y Riesgos
La intrusión del grupo Lazarus y la presencia de LightlessCann dentro de la red de una empresa en una industria tan crítica como la aeroespacial resalta la gravedad de la amenaza. La posible exfiltración de datos y el acceso no autorizado a sistemas críticos podrían tener ramificaciones significativas tanto para la empresa afectada como para la seguridad nacional.
Es imperativo que las organizaciones en sectores críticos comprendan y se preparen para la amplia gama de amenazas cibernéticas a las que están expuestas. Este incidente es un recordatorio del nivel de sofisticación y determinación de los actores de amenazas avanzadas.
Estrategias de Mitigación
Para enfrentar amenazas como la representada por LightlessCann y el grupo Lazarus, es esencial que las organizaciones adopten un enfoque proactivo para mejorar sus posturas de seguridad. Algunas estrategias recomendadas incluyen:
1. Desarrollo y Mantenimiento de una Estrategia de Seguridad Robusta:
- Realizar evaluaciones regulares de la seguridad de la red.
- Mantener un inventario actualizado de todos los activos y configuraciones de la red.
- Implementar una política de mínimos privilegios y controlar el acceso a información sensible.
2. Educación y Conciencia del Personal:
- Desarrollar programas de capacitación en ciberseguridad para educar al personal sobre las mejores prácticas de seguridad y la identificación de tácticas de phishing y otros vectores de ataque comunes.
Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
3. Tecnologías de Defensa Avanzadas:
- Implementar soluciones de seguridad que utilicen inteligencia artificial y aprendizaje automático, como nuestro SOC as a Service, para detectar y responder a amenazas en tiempo real.
- Adoptar tecnologías de detección y respuesta en endpoints (EDR) para obtener visibilidad y control sobre las actividades en la red.
Podría interesarte leer: Detección y Respuesta en Endpoints EDR con Wazuh
4. Respuesta a Incidentes y Planificación de la Recuperación:
- Establecer un equipo de respuesta a incidentes para gestionar y mitigar las brechas de seguridad de manera eficiente.
- Desarrollar y probar planes de recuperación ante desastres y continuidad del negocio para garantizar la resiliencia operacional en caso de un incidente de seguridad.
5. Colaboración y Compartición de Inteligencia de Amenazas:
- Participar en comunidades y foros de ciberseguridad para compartir información sobre amenazas y obtener conocimientos sobre las tácticas, técnicas y procedimientos (TTP) de los atacantes.
Este incidente subraya la necesidad de una gestión de la seguridad cibernética eficaz y una inversión continua en tecnologías y prácticas de defensa avanzadas. A medida que las amenazas continúan evolucionando, también debe evolucionar nuestra preparación y respuesta ante ellas. La adopción de una estrategia de seguridad integral y proactiva no sólo ayudará a proteger los activos críticos, sino que también permitirá una operación empresarial segura y eficiente en el ambiente cibernético cada vez más hostil.
Este análisis proporciona una visión esencial para los directores, gerentes de TI y CTOs que buscan entender y mitigar las amenazas emergentes en el panorama de la ciberseguridad moderna. Con un entendimiento claro del entorno de amenazas y una estrategia de seguridad sólida, las organizaciones pueden estar mejor preparadas para enfrentar y mitigar los desafíos de seguridad que se presenten en el futuro.