En el siempre cambiante paisaje de la ciberseguridad, las organizaciones se enfrentan a desafíos constantes provenientes de actores malintencionados que buscan explotar vulnerabilidades en los sistemas. Uno de estos actores, conocido como el grupo Lazarus, ha estado en el centro de atención recientemente por una intrusión audaz en una empresa aeroespacial, utilizando un nuevo malware llamado LightlessCann. Este incidente destaca la importancia de mantener una postura de seguridad cibernética robusta y adaptable. En esta ocasión, analizaremos el incidente, el malware involucrado y cómo las empresas pueden fortalecer sus defensas para mitigar tales amenazas.
El Grupo Lazarus, reconocido por sus tácticas sofisticadas y su habilidad para evadir las defensas tradicionales de seguridad, ha llevado a cabo un ataque concertado contra una empresa en la industria aeroespacial. Utilizando una pieza de malware recientemente descubierta, LightlessCann, el grupo pudo infiltrarse en los sistemas de la empresa y potencialmente acceder a información sensible.
También te interesará leer: Hackers iraníes explotan fallas de ManageEngine y Fortinet
El colectivo de hackers norcoreanos conocido como 'Lazarus' dirigió su artillería cibernética hacia los empleados de una compañía aeroespacial situada en España, ofreciendo ficticias ofertas de trabajo como anzuelo para infiltrarse en la red empresarial mediante una hasta entonces desconocida puerta trasera bautizada 'LightlessCan'.
La estrategia de los ciberdelincuentes se encuadró en su reciente campaña denominada "Operación Dreamjob", que consiste en contactar a sus objetivos a través de LinkedIn, simular un proceso de selección de personal, que en una de sus fases, solicita a la víctima descargar un archivo específico.
Un empleado cayó en la trampa, descargando el archivo en una computadora corporativa, facilitando así la incursión de los hackers norcoreanos en la red de la empresa para llevar a cabo actividades de ciberespionaje.
Te podría interesar leer: Protección de Phishing: No Muerdas el Anzuelo
La firma de seguridad cibernética ESET tomó las riendas de la investigación del incidente, logrando reconstruir el acceso inicial y recuperar varios componentes del arsenal digital de Lazarus, incluyendo la nueva puerta trasera, 'LightlessCan'.
El ataque, desglosado por ESET bajo el nombre de Operación Dreamjob, se inició con un mensaje en LinkedIn proveniente de un individuo que se hizo pasar por un reclutador de Meta (anteriormente Facebook), llamado Steve Dawson.
En fases subsiguientes de la conversación, se solicitó a la víctima demostrar sus habilidades en programación en C++ descargando ciertos cuestionarios proporcionados como archivos ejecutables dentro de imágenes ISO.
Al ejecutar estos archivos, una carga maliciosa adicional contenida en las imágenes ISO fue transferida sigilosamente al equipo de la víctima mediante la técnica de carga lateral de DLL (mscoree.dll), utilizando un programa legítimo (PresentationHost.exe).
Esta carga maliciosa, identificada como el cargador de malware NickelLoader, despliega dos puertas traseras, una versión modificada de BlindingCan con funcionalidades reducidas (denominada miniBlindingCan) y LightlessCan.
Los comandos ejecutables por miniBlindingCan incluyen:
Este meticuloso y engañoso modus operandi refleja la avanzada sofisticación y el continuo refinamiento en las tácticas de los actores de amenazas. Resalta, además, la importancia de mantener una vigilancia rigurosa y educar al personal sobre las tácticas de ingeniería social utilizadas por los ciberdelincuentes para ganar acceso a las redes corporativas.
Te podría interesar leer: Desvelando el Ataque de Ingeniería Social
La intrusión del grupo Lazarus y la presencia de LightlessCann dentro de la red de una empresa en una industria tan crítica como la aeroespacial resalta la gravedad de la amenaza. La posible exfiltración de datos y el acceso no autorizado a sistemas críticos podrían tener ramificaciones significativas tanto para la empresa afectada como para la seguridad nacional.
Es imperativo que las organizaciones en sectores críticos comprendan y se preparen para la amplia gama de amenazas cibernéticas a las que están expuestas. Este incidente es un recordatorio del nivel de sofisticación y determinación de los actores de amenazas avanzadas.
Para enfrentar amenazas como la representada por LightlessCann y el grupo Lazarus, es esencial que las organizaciones adopten un enfoque proactivo para mejorar sus posturas de seguridad. Algunas estrategias recomendadas incluyen:
1. Desarrollo y Mantenimiento de una Estrategia de Seguridad Robusta:
2. Educación y Conciencia del Personal:
Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
3. Tecnologías de Defensa Avanzadas:
Podría interesarte leer: Detección y Respuesta en Endpoints EDR con Wazuh
4. Respuesta a Incidentes y Planificación de la Recuperación:
5. Colaboración y Compartición de Inteligencia de Amenazas:
Este incidente subraya la necesidad de una gestión de la seguridad cibernética eficaz y una inversión continua en tecnologías y prácticas de defensa avanzadas. A medida que las amenazas continúan evolucionando, también debe evolucionar nuestra preparación y respuesta ante ellas. La adopción de una estrategia de seguridad integral y proactiva no sólo ayudará a proteger los activos críticos, sino que también permitirá una operación empresarial segura y eficiente en el ambiente cibernético cada vez más hostil.
Este análisis proporciona una visión esencial para los directores, gerentes de TI y CTOs que buscan entender y mitigar las amenazas emergentes en el panorama de la ciberseguridad moderna. Con un entendimiento claro del entorno de amenazas y una estrategia de seguridad sólida, las organizaciones pueden estar mejor preparadas para enfrentar y mitigar los desafíos de seguridad que se presenten en el futuro.