En el siempre cambiante mundo de la ciberseguridad, los ciberdelincuentes están constantemente buscando nuevas formas de explotar vulnerabilidades y comprometer sistemas. Recientemente, un grupo de hackers conocido como Lazarus ha vuelto a estar en el centro de atención al utilizar una vulnerabilidad de Log4j que tiene dos años de antigüedad para lanzar un nuevo malware RAT (Remote Access Trojan). En este artículo, exploraremos en detalle esta última amenaza, cómo funciona y qué medidas de seguridad pueden tomar las organizaciones para protegerse contra ella.
El grupo de piratería notorio de Corea del Norte, conocido como Lazarus, continúa aprovechando la vulnerabilidad CVE-2021-44228, también conocida como "Log4Shell", esta vez para introducir tres nuevas familias de malware escritas en DLang.
Estas nuevas amenazas incluyen dos troyanos de acceso remoto (RAT) denominados NineRAT y DLRAT, así como un descargador de malware llamado BottomLoader. El uso poco común del lenguaje de programación D en operaciones de cibercrimen sugiere que Lazarus lo ha seleccionado con el objetivo de evadir detecciones de seguridad.
Esta campaña, apodada en código como "Operación Herrero" por los investigadores de Cisco Talos, comenzó alrededor de marzo de 2023 y está dirigida a empresas manufactureras, agrícolas y de seguridad física en todo el mundo. La Operación Blacksmith representa un cambio significativo en las tácticas y herramientas empleadas por Lazarus, subrayando su capacidad para adaptarse constantemente y demostrando su naturaleza en constante evolución como grupo de amenazas cibernéticas.
Te podrá interesar leer: Troyanos de Acceso Remoto: Software Malicioso (RAT)
Lazarus ha lanzado dos nuevas variantes de malware, con NineRAT siendo la primera de ellas. Este RAT utiliza la API de Telegram para llevar a cabo las operaciones de comando y control (C2), incluyendo la recepción de comandos y la extracción de archivos de la computadora atacada. NineRAT también incluye un dropper que se encarga de establecer la persistencia y ejecutar los binarios principales.
Los comandos que NineRAT admite y que se reciben a través de Telegram son los siguientes:
Te podrá interesar leer: Descubriendo los canales en Telegram de la Dark Web
El segundo malware, DLRAT, es un troyano y descargador que Lazarus utiliza para introducir cargas útiles adicionales en sistemas infectados. La primera acción de DLRAT en un dispositivo consiste en ejecutar comandos codificados para recopilar información preliminar del sistema, como detalles del sistema operativo y dirección MAC de la red, y luego enviar esta información al servidor C2.
El servidor del atacante responde proporcionando la dirección IP externa de la víctima y uno de los siguientes comandos que el malware ejecuta localmente:
Finalmente, se ha descubierto BottomLoader, un descargador de malware que recupera y ejecuta cargas útiles desde una URL codificada utilizando PowerShell. Al mismo tiempo, establece la persistencia modificando el directorio de inicio. BottomLoader también permite a Lazarus filtrar archivos del sistema infectado al servidor C2, lo que proporciona una mayor versatilidad operativa.
Tambíen te podrá interesar: Análisis de Malware con Wazuh
Cisco Talos ha registrado ataques que aprovechan la vulnerabilidad conocida como Log4Shell, una grave falla de ejecución remota de código en la biblioteca de registro Log4j. A pesar de haber sido descubierta y parcheada hace aproximadamente dos años, esta vulnerabilidad sigue siendo una preocupación en términos de seguridad.
Los objetivos de estos ataques se centran en servidores públicos VMWare Horizon que utilizan una versión vulnerable de Log4j. Esta vulnerabilidad permite a los atacantes llevar a cabo la ejecución remota de código en dichos servidores.
Una vez que logran comprometer el servidor, Lazarus procede a configurar una herramienta proxy para mantener un acceso persistente al sistema afectado. Luego, ejecutan comandos de reconocimiento, crean nuevas cuentas de administrador y despliegan herramientas de robo de credenciales como ProcDump y MimiKatz.
En la segunda etapa del ataque, Lazarus introduce NineRAT en el sistema, un malware que es capaz de ejecutar una amplia variedad de comandos, como se detalló anteriormente.
Cisco concluye que es posible que Lazarus comparta la información recopilada por NineRAT con otros grupos o clústeres de Amenazas Persistentes Avanzadas (APT) que operan bajo su paraguas. Esta suposición se basa en el hecho de que NineRAT realiza lo que se podría llamar una "nueva toma de huellas digitales" en algunos casos, lo que sugiere que podría estar recopilando información y datos para múltiples actores.