Inicio / Alertas / Piratas informáticos de Lazarus APT atacan a una organización japonesa utilizando la herramienta SMB remota “SMBMAP” después de una intrusión en la red

Piratas informáticos de Lazarus APT atacan a una organización japonesa utilizando la herramienta SMB remota “SMBMAP” después de una intrusión en la red

Los investigadores de JPCERT / CC observaron que los piratas informáticos APT más peligrosos del mundo atacan a las organizaciones japonesas con diferentes programas maliciosos durante y después de la intrusión en la red objetivo.

Lazarus, también conocido como Hidden Cobra, es un grupo de piratas informáticos APT de Corea del Norte que ha estado involucrado en varios ciberataques de alto perfil en varios sectores gubernamentales y privados de todo el mundo desde 2009.

Se cree que el grupo de hackers Lazarus trabaja para la organización de piratería informática patrocinada por el estado norcoreano Reconnaissance General Bureau y utiliza varios métodos de ataque como Zerodays, spearphishing, malware, desinformación, puertas traseras, droppers.

Los atacantes utilizan el malware ofuscado para el ataque continuo contra las organizaciones japonesas con algunas de las funcionalidades de sofisticación para obtener acceso a la red para las diversas actividades maliciosas.

Uno de los procesos de infección de malware

La etapa inicial de la infección comienza con la descarga y ejecuta los módulos de configuración y se almacenan en la carpeta específica C: \Windows\System32.

Los atacantes agregaron algunos archivos innecesarios y los empaquetaron como ZIP que contiene más de 150 MB de datos, y el archivo está ofuscado con VMProtect.

El archivo de configuración inicial del malware está completamente encriptado, luego se almacena en la entrada del registro y se carga automáticamente cuando se ejecuta el malware.

Aquí el comportamiento completo del malware, configuración, formato de comunicación y módulos.

Los atacantes cifraron todas las cadenas del malware con AES128 y codificaron la clave de cifrado.

Según el Informe JPCERT / CC “Dado que el malware convierte la cadena de 16 letras en caracteres anchos (32 bytes), solo los primeros 16 bytes se utilizan como clave”.

“El nombre de la API de Windows también está cifrado con AES. Después de descifrar las cadenas de API, se resuelve la dirección de las API que son llamadas por LoadLibrary y GetProcAddress “.

Después de la infección exitosa del malware, envíe la solicitud HTTP al servidor C2 con la siguiente información: –

Posteriormente, el malware se centró en descargar un módulo del servidor C2 mediante varios intentos de comunicación. una vez que se descarga con éxito, solicita el comando del servidor C2 donde los atacantes envían los comandos específicos.

Descargar el módulo tendrá las diversas funciones de las siguientes: –

– Operación en archivos (crear una lista, borrar, copiar, modificar el tiempo creado)
– Operación en procesos (crear una lista, ejecutar, matar)
– Cargar / descargar archivos
– Crear y cargar un archivo ZIP de directorio arbitrario
– Ejecutar comando de shell arbitrario
– Obtener información del disco
– Modificar la hora del sistema

Finalmente, los atacantes propagan la infección y aprovechan la información de la cuenta con la ayuda de la herramienta de Python “SMBMAP” que permite el acceso al host remoto a través de SMB después de convertirlo como un archivo de Windows PE con Pyinstaller.

Puede ver el analisis completo del malware aqui (documentación en inglés)

Vea También

Shopify Data Breach: dos empleados deshonestos robaron datos de clientes

La plataforma de comercio electrónico en línea Shopify anunció una violación de datos después de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.