El equipo de investigación de ESET ha descubierto y analizado un conjunto de herramientas maliciosas que fueron utilizadas por el grupo de APT Lazarus en ataques que se llevaron adelante entre septiembre y noviembre de 2021. La campaña comenzó con correos electrónicos de spearphishing que contenían documentos maliciosos y que utilizaban la imagen de Amazon. Estos correos estaban dirigidos a un empleado de una empresa aeroespacial en Países Bajos y a un periodista político en Bélgica. El objetivo principal de los atacantes era la exfiltración de datos. Lazarus (también conocido como HIDDEN COBRA) es un grupo de APT que ha estado activo desde al menos 2009. Es responsable de ataques a compañías de alto perfil, como fue el ciberataque a Sony Pictures Entertainment y el robo de decenas de millones de dólares en 2016, también del brote del ransomware WannaCryptor (también conocido como WannaCry) en 2017 y de un largo historial de ataques disruptivos contra Infraestructura crítica y pública de Corea del Sur desde al menos 2011.


Hallazgos clave:
 

  • La campaña de Lazarus apunto a un empleado de una empresa aeroespacial en Países Bajos y a un periodista político en Bélgica.
  • La herramienta más notable utilizada en esta campaña representa el primer abuso registrado de la vulnerabilidad CVE-2021-21551. Esta vulnerabilidad afecta a los drivers DBUtil de Dell. Dell lanzó una actualización de seguridad en mayo de 2021 que corrige el fallo.
  • Esta herramienta, en combinación con la vulnerabilidad, deshabilita en las máquinas comprometidas el monitoreo de todas las soluciones de seguridad. Utiliza técnicas contra los mecanismos del kernel de Windows que nunca antes se habían observado en un malware.
  • Lazarus también usó en esta campaña su muy completo backdoor HTTP(S), conocido como BLINDINGCAN.
  • La complejidad del ataque indica que Lazarus está conformado por un gran equipo que está sistemáticamente organizado y bien preparado.

En ambos casos el contacto comenzó a través de ofertas de trabajo: el empleado en los Países Bajos recibió un archivo adjunto a través de LinkedIn Messaging y la persona en Bélgica recibió un documento por correo electrónico. Los ataques comenzaron después de que se abrieron estos documentos. Los atacantes desplegaron varias herramientas maliciosas en cada sistema, incluidos droppers, loaders, backdoors HTTP(S) que ofrecen múltiples funciones, uploaders y downloaders HTTP(S). El punto en común entre los droppers es que son proyectos de código abierto troyanizados que descifran el payload embebido utilizando cifradores de bloque modernos con claves largas pasadas como argumentos de línea de comando. En muchos casos, los archivos maliciosos son componentes DLL que fueron descargados por archivos EXE legítimos, pero desde una ubicación inusual en el sistema de archivos.

La herramienta más interesante que utilizaron los atacantes fue un módulo de modo de usuario que les permitió la habilidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo. Este es el primer caso registrado de explotación de esta vulnerabilidad en una campaña. Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta.

En este artículo explicamos el contexto de la campaña y cómo fue que los actores maliciosos lograron el acceso inicial, pero en la versión en inglés de esta publicación compartimos el análisis técnico completo detallando todos los componentes utilizados por Lazarus.

Esta investigación se presentó en la conferencia Virus Bulletin de este año. Debido a su originalidad, el enfoque principal de la presentación estuvo en el componente malicioso utilizado en este ataque que utiliza la técnica Bring Your Own Vulnerable Driver (BYOVD) y aprovecha la vulnerabilidad CVE-2021-21551 mencionada anteriormente. Información más detallada está disponible en el white paper Lazarus & BYOVD: Evil to the Windows core.

Atribuimos estos ataques a Lazarus con mucha confianza a partir de los módulos específicos, el certificado de firma de código y el enfoque de intrusión en común con campañas anteriores de Lazarus, como Operation In(ter)ception y Operation DreamJob. La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como el hecho de lleva adelante los tres pilares de las actividades cibercriminales: ciberespionaje, cibersabotaje y búsqueda de ganancias financieras.

Acceso inicial

El equipo de investigación de ESET descubrió dos nuevos ataques: uno contra el personal de un medio de comunicación en Bélgica y otro contra un empleado de una compañía aeroespacial en Países Bajos.

En el caso de Países Bajos, el ataque afectó a una computadora con Windows 10 conectada a la red corporativa, en la cual se contactó a un empleado a través de LinkedIn Messaging en relación a una oferta de trabajo, lo que resultó en el envío de un correo electrónico con un documento adjunto. Nos pusimos en contacto con el profesional de seguridad de la empresa afectada, quien pudo compartir el documento malicioso con nosotros. El archivo de Word Amzon_Netherlands.docx enviado es simplemente un documento que contiene el logo de Amazon (consulte la Figura 1). Una vez abierto, la plantilla remota https://thetalkingcanvas[.]com/thetalking/globalcareers/us/5/careers/jobinfo.php?image=<var>_DO.PROJ (donde <var>  es un número de siete dígitos) es recuperada. No pudimos adquirir el contenido, pero suponemos que contenía una oferta de trabajo para el programa espacial de Amazon, Project Kuiper. Este es un método que Lazarus utilizó en las campañas Operation In(ter)ception y Operation DreamJob dirigidas a las industrias aeroespacial y de defensa

Figura 1. Documento con el logo de Amazon enviado al blanco apuntado en Países Bajos

En cuestión de horas, se utilizaron varias herramientas maliciosas en el sistema, incluidos droppers, loaders, backdoors HTTP(S) con todas las funciones, uploaders HTTP(S) y downloaders HTTP(S); consulte la sección Toolset (Conjunto de herramientas) en la versión en inglés de esta publicación.

En el caso del ataque a Bélgica, se contactó al empleado de una empresa de periodismo (cuya dirección de correo electrónico estaba disponible públicamente en el sitio web de la empresa) a través de un correo electrónico que utilizó como señuelo un adjunto con el nombre AWS_EMEA_Legal_.docx. Como no obtuvimos el documento y solo conocemos su nombre, suponemos que puede tratarse de una oferta de trabajo para un cargo en el área de legales. Una vez que el empleado abrió el documento, se desencadenó el ataque, pero los productos de ESET lo detuvieron de inmediato, con solo un ejecutable malicioso involucrado. El aspecto interesante aquí es que, en ese momento, este binario estaba válidamente firmado con un certificado de firma de código.

Atribución

Atribuimos ambos ataques al grupo de Lazarus con un alto nivel de confianza. Esta afirmación se basan en la relación que muestran con campañas anteriores del grupo:

  1. Malware (set de intrusión):
    1. El backdoor HTTPS (SHA-1: 735B7E9DFA7AF03B751075FD6D3DE45FBF0330A2) tiene fuertes similitudes con el backdoor BLINDINGCAN, reportado por CISA (US-CERT) y atribuido a HIDDEN COBRA, que es el nombre en clave para Lazarus.
    2. El uploader HTTP(S) tiene fuertes similitudes con la herramienta C:\ProgramData\IBM\~DF234.TMP  mencionada en el informe de HvS Consulting, Sección 2.10 Exfiltración.
    3. La ruta y el nombre completo del archivo, %ALLUSERSPROFILE%\Adobe\Adobe.tmp, es idéntico a los informados por Kaspersky en febrero de 2021 en un White paper  sobre una campaña de Lazarus denominada Operation ThreatNeedle, cuyo objetivo es la industria de defensa.
    4. El certificado de firma de código, que fue emitido a nombre de la empresa estadounidense “A” MEDICAL OFFICE, PLLC y utilizado para firmar uno de los droppers, también fue reportado en una campaña dirigida los investigadores en ciberseguridad. Consulte también el grupo Lazarus: campaña 2 TOY GUYS, Threat Report del primer cuatrimestre de 2021, página 11.
    5. Se utilizó un tipo de cifrado inusual en las herramientas de esta campaña de Lazarus: HC-128. Otros cifradores menos frecuentes utilizados por Lazarus en el pasado: una variante de Spritz para RC4 en los ataques de watering hole contra bancos polacos y mexicanos; luego utilizó un cifrador RC4 modificado en Operation In(ter)ception; y se utilizó un cifrador de flujo A5/1 modificado en el ataque de cadena de suministro de WIZVERA VeraPort.
  2. Infraestructura:
    1. Para el servidor de C&C de primer nivel, los atacantes no usan sus propios servidores, sino que comprometen existentes. Este es un comportamiento típico de Lazarus.

Como mencionamos anteriormente, en la versión en español de este artículo explicamos el contexto de esta campaña del grupo de APT Lazarus dirigida a blancos de Bélgica y Países Bajos. Una vez más el grupo utilizó falsas ofertas de trabajo como señuelo a para intentar engañar a sus víctimas y enviar un documento que descarga malware y permite el acceso inicial.

En la versión en inglés, titulada Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium, pueden leer el análisis técnico completo de cada uno de los componentes y herramientas utilizados por Lazarus.

Lecturas recomendadas: La oferta laboral más cara del mundo: un engaño que terminó en un robo millonario