CISA: Lazarus APT apunta a organizaciones blockchain con malware TraderTraitor


El prolífico y depredador grupo APT de Corea del Norte, Lazarus, lleva a cabo una campaña en curso dirigida a inversores en criptomonedas, intercambios, empresas comerciales y organizaciones de cadenas de bloques para obtener acceso a claves valiosas y otra información, instalar malware y robar fondos y otros datos.

La campaña utiliza una variedad de tácticas que incluyen el phishing selectivo, la ingeniería social y la instalación de un nuevo conjunto de aplicaciones maliciosas llamado TraderTraitor, que roban datos del sistema, instalan un troyano de acceso remoto y realizan otras actividades maliciosas. La Agencia de Seguridad de Infraestructura y Ciberseguridad, el FBI y el Departamento del Tesoro emitieron el martes un nuevo aviso sobre la campaña del Grupo Lazarus, advirtiendo que el grupo está utilizando aplicaciones de criptomonedas modificadas con la puerta trasera AppleJeus para afianzarse en el dominio de las computadoras específicas.

“El grupo Lazarus usó aplicaciones de criptomonedas AppleJeus troyanizadas, dirigidas a individuos y empresas, incluidos los intercambios de criptomonedas y las empresas de servicios financieros, a través de la proliferación de aplicaciones de comercio de criptomonedas modificadas para contener malware que facilita el robo de criptomonedas”, se lee en la recomendación.

“Los ataques comienzan con una gran cantidad de mensajes de spear phishing que se envían a empleados de empresas de criptomonedas, que a menudo trabajan en administración de sistemas o desarrollo de software/operaciones de TI (DevOps), en una variedad de plataformas de comunicación. Los mensajes a menudo imitan un esfuerzo de reclutamiento y ofrecen trabajos bien remunerados para engañar a los destinatarios para que descarguen aplicaciones de criptomonedas infestadas de malware”.

El grupo Lazarus es uno de los grupos APT más agresivos y activos y se ha relacionado con algunos robos importantes de criptomonedas y otros fondos en los últimos años. El grupo está afiliado al gobierno de Corea del Norte, y el gobierno de EE. UU. y los equipos de investigación de seguridad han estado investigando y exponiendo el malware, las técnicas y las tácticas de Lazarus Group durante muchos años. CISA ha revelado detalles del arsenal de malware del grupo en el pasado, y la semana pasada el Departamento de Estado anunció una recompensa de hasta $ 5 millones por información que ayude a interrumpir las operaciones de lavado de dinero diseñadas para apoyar las actividades cibernéticas maliciosas de los actores norcoreanos. Los funcionarios estadounidenses también llevaron al Grupo Lazarus y APT38, otro grupo patrocinado por el estado de Corea del Norte, a un robo masivo de criptomonedas el mes pasado.

“A través de nuestra investigación, pudimos confirmar que el Grupo Lazarus y APT38, ciberactores afiliados a la RPDC, son responsables del robo de $620 millones en Ethereum que se informó el 29 de marzo”, dijo el FBI en una explicación la semana pasada. “El FBI, en coordinación con el Departamento del Tesoro y otros socios del gobierno de EE. UU., continuará exponiendo y combatiendo el uso de actividades ilegales por parte de la RPDC, incluido el delito cibernético y el robo de criptomonedas, para generar ingresos para el régimen”.

La reciente campaña TraderTraitor utiliza varias herramientas maliciosas, incluido varios programas maliciosos dirigidos a macOS firmados con certificados de desarrollador de Apple. Todos estos certificados asociados han sido revocados. Los ataques también utilizan varias herramientas basadas en Windows, una de las cuales se hace pasar por una herramienta de predicción y precio de criptomonedas. El aviso de CISA advierte que es poco probable que las actividades centradas en criptografía del Grupo Lazarus disminuyan en el corto plazo.

“Desde abril de 2022, los actores del Grupo Lazarus de Corea del Norte se han dirigido a varias empresas, entidades e intercambios en las industrias de blockchain y criptomonedas utilizando campañas de phishing y malware para robar criptomonedas. Es probable que estos actores continúen explotando las vulnerabilidades en las empresas de tecnología de criptomonedas, las empresas de juegos de azar y los intercambios para generar y lavar fondos en apoyo del régimen de Corea del Norte”, dijo el aviso.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*