El malware Lazarus ataca las cadenas de suministro de Corea del Sur



Los investigadores sospechan que Lazarus está desarrollando su propio troyano Dacls Ver ahora El malware Lazarus se ha rastreado en nuevas campañas contra las cadenas de suministro de Corea del Sur, gracias a los certificados de seguridad robados. El lunes, los investigadores de ciberseguridad de ESET revelaron el abuso de los certificados, robados de dos compañías surcoreanas legítimas y separadas. Lazarus, también conocido como Hidden Cobra, es un término general para grupos de amenazas selectos, incluidas entidades derivadas, sospechosos de estar vinculados a Corea del Norte.
Se cree que es responsable del infame hackeo de Sony en 2014, Lazarus también se ha relacionado con hacks que utilizan vulnerabilidades de día cero, mensajes de phishing de LinkedIn y el despliegue de troyanos en campañas que incluyen Dacls y Trickbot. Ver también: El grupo Lazarus ataca a una empresa de criptomonedas a través de anuncios de empleo en LinkedIn En los últimos años, Lazarus ha ampliado su superficie de ataque no solo para el robo de datos confidenciales de corporaciones, sino también para comprometer organizaciones de criptomonedas. En este ataque a la cadena de suministro, los actores de amenazas están utilizando un "mecanismo de cadena de suministro inusual", dice ESET, en el que Lazarus está abusando de un requisito estándar para los usuarios de Internet de Corea del Sur: la necesidad de instalar software de seguridad adicional cuando visitan el gobierno o las finanzas. sitios web de servicios.
Normalmente, los usuarios deberán descargar WIZVERA VeraPort, un programa que se utiliza para administrar las descargas de software necesarias para visitar dominios particulares. Estas actualizaciones pueden incluir complementos de navegador, software de seguridad independiente o herramientas de verificación de identidad. WIZVERA VeraPort firma digitalmente y verifica criptográficamente las descargas.
"[Esta] es la razón por la que los atacantes no pueden modificar fácilmente el contenido de estos archivos de configuración o configurar su propio sitio web falso", dicen los investigadores. "Sin embargo, los atacantes pueden reemplazar el software que se entregará a los usuarios de WIZVERA VeraPort desde un sitio web legítimo pero comprometido. Creemos que este es el escenario que utilizaron los atacantes de Lazarus". Lazarus ha apuntado a los eslabones más débiles de la cadena al obtener ilegalmente certificados de firma de código de dos empresas de seguridad de Corea del Sur. La configuración predeterminada de WIZVERA VeraPort generalmente requiere que se verifiquen las firmas de los binarios descargados antes de la ejecución. Sin embargo, el administrador de software solo verifica la firma y no a quién pertenecen los certificados.
CNET: Las reglas para contraseñas seguras no funcionan, según los investigadores. Esto es lo que hace Para explotar el software, los certificados robados, pero válidos, se utilizaron para lanzar cargas útiles de malware Lazarus. Hasta ahora, se han detectado dos muestras de malware que camuflan el malware del grupo como software legítimo de Corea del Sur que a menudo WIZVERA VeraPort descarga y ejecuta.
Se han creado nombres de archivo, íconos y recursos similares a los del software legítimo para evitar la activación. sospecha. Si una víctima visita un sitio web malicioso, por ejemplo, y sin saberlo descarga el software comprometido, Lazarus lanzará un cuentagotas a través de WIZVERA VeraPort que extrae un descargador y archivos de configuración. TechRepublic: Los piratas informáticos a sueldo apuntan a las víctimas con una campaña de ciberespionaje Luego se establece una conexión con el servidor de comando y control (C2) del atacante y la carga útil final, un troyano de acceso remoto (RAT), se implementa en la máquina de la víctima.
Los RAT se pueden usar para mantener vigilancia encubierta, persistencia a través de puertas traseras y para la exfiltración de datos o control remoto del sistema. "Es la combinación de sitios web comprometidos con el soporte de WIZVERA VeraPort y las opciones de configuración específicas de VeraPort lo que permite a los atacantes realizar este ataque", dice ESET. "Los propietarios de dichos sitios web podrían disminuir la posibilidad de tales ataques, incluso si sus sitios están comprometidos, habilitando opciones específicas (por ejemplo, especificando hashes de binarios en la configuración de VeraPort)". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı