Se ha observado que BlueNoroff, un subgrupo del conocido grupo Lazarus, ha adoptado nuevas técnicas en su playbook que le permiten eludir las protecciones de Windows Mark of the Web (MotW).
Esto incluye el uso de formatos de archivo de imagen de disco óptico (extensión .ISO) y disco duro virtual (extensión .VHD) como parte de una novedosa cadena de infección, según revela Kaspersky en un informe publicado hoy.
“BlueNoroff creó numerosos dominios falsos haciéndose pasar por empresas de capital riesgo y bancos”, afirmó el investigador de seguridad Seongsu Park, quien añadió que el nuevo procedimiento de ataque fue señalado en su telemetría en septiembre de 2022.
Se ha descubierto que algunos de los dominios falsos imitan a ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group, la mayoría de ellos situados en Japón, lo que indica un “gran interés” por la región.
También conocido con los nombres de APT38, Nickel Gladstone y Stardust Chollima, BlueNoroff forma parte del grupo de amenazas Lazarus, que también incluye a Andariel (alias Nickel Hyatt o Silent Chollima) y Labyrinth Chollima (alias Nickel Academy).
Las motivaciones financieras del actor de la amenaza, en contraposición al espionaje, lo han convertido en un actor de estado-nación inusual en el panorama de las amenazas, lo que le permite una “mayor difusión geográfica” y le permite infiltrarse en organizaciones de América del Norte y del Sur, Europa, África y Asia.
Desde entonces, se le ha relacionado con ciberataques de gran repercusión dirigidos contra la red bancaria SWIFT entre 2015 y 2016, incluido el audaz atraco al Bangladesh Bank en febrero de 2016 que supuso el robo de 81 millones de dólares.
Desde al menos 2018, BlueNoroff parece haber experimentado un cambio táctico, pasando de golpear a bancos a centrarse únicamente en entidades de criptodivisas para generar ingresos ilícitos.
Con este fin, Kaspersky reveló a principios de este año detalles de una campaña llamada SnatchCrypto orquestada por el colectivo adversario para drenar fondos digitales de las carteras de criptomonedas de las víctimas.
Otra actividad clave atribuida al grupo es AppleJeus, en la que falsas empresas de criptomoneda son creadas para atraer a víctimas desprevenidas para que instalen aplicaciones de apariencia benigna que finalmente reciben actualizaciones anuladas.
La última actividad identificada por la empresa rusa de ciberseguridad introduce ligeras modificaciones para transmitir su carga útil final, cambiando archivos adjuntos de documentos de Microsoft Word por archivos ISO en correos electrónicos de spear-phishing para desencadenar la infección.
Estos archivos de imagen óptica, a su vez, contienen una presentación de diapositivas de Microsoft PowerPoint (.PPSX) y un script de Visual Basic (VBScript) que se ejecuta cuando el objetivo hace clic en un enlace del archivo PowerPoint.
En un método alternativo, se ejecuta un archivo por lotes de Windows infectado con malware aprovechando un binario “living-off-the-land” (LOLBin) para recuperar un descargador de segunda etapa que se utiliza para buscar y ejecutar una carga útil remota.
Kaspersky también descubrió una muestra .VHD que viene con un archivo PDF de descripción de trabajo señuelo que está armado para generar un descargador intermedio que se hace pasar por software antivirus para obtener la carga útil de la siguiente etapa, pero no antes de desactivar las soluciones EDR genuinas mediante la eliminación de los ganchos de modo de usuario.
Aunque el backdoor exacto no está claro, se cree que es similar a un backdoor de persistencia utilizado en los ataques SnatchCrypto.
El uso de nombres de archivo japoneses para uno de los documentos señuelo, así como la creación de dominios fraudulentos disfrazados de empresas de capital riesgo japonesas legítimas, sugiere que las empresas financieras del país insular son probablemente un objetivo de BlueNoroff.
La guerra cibernética ha sido uno de los principales objetivos de Corea del Norte en respuesta a las sanciones económicas impuestas por varios países y las Naciones Unidas ante la preocupación por sus programas nucleares. También se ha convertido en una importante fuente de ingresos para el país.
De hecho, según el Servicio Nacional de Inteligencia de Corea del Sur (NIS), se estima que los hackers norcoreanos patrocinados por el Estado han robado 1.200 millones de dólares en criptomonedas y otros activos digitales de objetivos de todo el mundo en los últimos cinco años.
“Este grupo tiene una fuerte motivación financiera y realmente consigue obtener beneficios de sus ciberataques”, afirmó Park. “Esto también sugiere que es poco probable que los ataques de este grupo disminuyan en un futuro próximo”.
IOC’s
Descargador
087407551649376d90d1743bac75aac8 regsile.exe
Descargador Cur1Agent
f766f97eb213d81bf15c02d4681c50a4
61a227bf4c5c1514f5cbd2f37d98ef5b
4c0fb06320d1b7ecf44ffd0442fc10ed
d8f6290517c114e73e03ab30165098f6
Cargador
d3503e87df528ce3b07ca6d94d1ba9fc E:\Readme.exe
931d0969654af3f77fc1dab9e2bd66b1 Job_Description. exe
Archivo de disco virtual malicioso
a17e9fc78706431ffc8b3085380fe29f Job_Description.vhd
Archivo comprimido y acceso directo malicioso descomprimido
1e3df8ee796fc8a13731c6de1aed0818 新しいボーナススケジュール.zip (Nuevo programa de bonificación)
21e9ddd5753363c9a1f36240f989d3a9 Password.txt.lnk
URLs
hxxp://avid.lno-prima[.]lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
hxxp://avid.lno-prima[.]lol/NafqhbXR7KC/rTVCtCpxPH/kMjTqFDDNt/fiOHK5H35B/bM%3D
hxxp://ofertas[.]nube/NafqhbXR7KC/rTVCtCpxPH/pdQTpFN6FC/Lhr_wXGXix/nQ%3D
hxxps://docs.azure-protection[.]cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
hxxps://docs.azure-protection[.]cloud/%2BgFJKOpVX/4vRuFIaGlI/D%2BOfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
hxxps://docs.azure-protection[.]cloud/+gFJKOpVX/4vRuFIaGlI/D+OfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
hxxps://bankofamerica.us[.]org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
hxxps://www.capmarketreport[.]com/packageupd.msi?ccop=RoPbnVqYd
Dirección IP pivotante
152[.]89.247.87
172[.]86.121.130
104[.]168.174.80
Fuente: thehackernews.com
