Kaspersky ha identificado una nueva campaña de Lazarus. En este caso, desde principios de 2020, se ha dirigido a la industria de la Defensa con un backdoor personalizado apodado ThreatNeedle. Dicho backdoor se mueve lateralmente a través de las redes infectadas recopilando información sensible.
Los investigadores tuvieron conocimiento de esta campaña por primera vez cuando a la compañía se le solicitó ayuda para responder a un incidente, y descubrieron que la organización había sido víctima de un backdoor personalizado, bautizado como ThreatNeedle.
«Lazarus ha sido quizás el actor de amenazas más activo de 2020, y no parece que esto vaya a cambiar a corto plazo. De hecho, ya en enero de este año, el equipo de Análisis de Amenazas de Google informó de que Lazarus había sido detectado usando esta misma puerta trasera para atacar a los investigadores de seguridad.
Cómo actúa la nueva campaña de Lazarus ThreatNeedle
La infección inicial se produce a través de spear phishing; los objetivos reciben correos electrónicos que contienen un archivo adjunto de Word malicioso o un enlace a uno alojado en los servidores de la empresa. Una vez abierto el documento malicioso, el malware se descarga y da paso a la siguiente etapa del proceso de despliegue.
El malware ThreatNeedle utilizado en esta campaña forma parte de una familia conocida como Manuscrypt, perteneciente al grupo Lazarus y vista anteriormente en otros ciberataques a compañías de criptomonedas. Una vez instalado, ThreatNeedle es capaz de obtener el control total del dispositivo de la víctima, lo que significa que puede realizar cualquier cosa, desde manipular archivos hasta ejecutar comandos recibidos.
Fuente – revistabyte
