Al menos seis organizaciones en Corea del Sur han sido atacadas por el prolífico Comunidad de Lazarus vinculado a Corea del Boreal como parte de una campaña denominado Operación sincronizada.
La actividad se dirigió a las industrias de software, TI, financieros, fabricación de semiconductores y telecomunicaciones de Corea del Sur, según un referencia de Kaspersky publicado hoy. La primera evidencia de compromiso se detectó por primera vez en noviembre de 2024.
La campaña implicó una «combinación sofisticada de una logística de agujero de riego y una explotación de vulnerabilidad internamente del software de Corea del Sur», dijeron los investigadores de seguridad Sojun Ryu y Vasily Berdnikov. «Además se usó una vulnerabilidad de un día en el agente de Innorix para el movimiento adjunto».
Se han observado los ataques allanando el camino para las variantes de herramientas conocidas de Lázaro como amenazas, Agamenón, Wagent, SignBT y CopperHedge.
Lo que hace que estas intrusiones sean particularmente efectivas es la probable explotación de una vulnerabilidad de seguridad en Cross EX, un software oficial que prevalece en Corea del Sur para permitir el uso de software de seguridad en los sitios web de banca en segmento y gubernamentales para consentir las firmas digitales antia-kilogging y certificados.
«El Comunidad Lazarus muestra una musculoso comprensión de estos detalles y está utilizando una logística dirigida a Corea del Sur que combina vulnerabilidades en tal software con ataques de agujeros de riego», dijo el proveedor de seguridad cibernética rusa.
La explotación de una defecto de seguridad en el agente de Innorix para el movimiento adjunto es extraordinario por el hecho de que el subgrupo de Andariel del Comunidad Lázaro asimismo ha acogido un enfoque similar para entregar malware como Volgmer y Andardoor.
El punto de partida de la última ola de ataques es un ataque de agujero de riego, que activó el despliegue de amenazas posteriormente de que los objetivos visitaron varios sitios de medios en segmento de Corea del Sur. Los visitantes que aterrizan en los sitios se filtran utilizando un script del costado del servidor ayer de redirigirlos a un dominio controlado por el adversario para servir al malware.
«Evaluamos con la confianza media de que el sitio redirigido puede ocurrir ejecutado un script taimado, dirigido a un posible defecto en Cross Ex instalado en la PC objetivo y el divulgación de malware», dijeron los investigadores. «El script finalmente ejecutó el synchost.
La secuencia de infección se ha observado adoptando dos fases, utilizando amenazas y meneo en las primeras etapas y luego se firma y cobrehedge para establecer persistencia, realizar agradecimiento y entregar herramientas de residuos de credenciales en los hosts comprometidos.
Además se implementan familias de malware como LPECLIENT para el perfil de víctimas y la entrega de carga útil, y un descargador denominado Agamemnon para descargar y ejecutar cargas efectos adicionales recibidas desde el servidor de comando y control (C2), al tiempo que incorpora simultáneamente la técnica del báratro para derivar soluciones de seguridad durante la ejecución.
Una carga útil descargada por Agamemnon es una utensilio diseñada para arrostrar a extremidad un movimiento adjunto explotando una defecto de seguridad en la utensilio de transferencia de archivos de Innorix Agent. Kaspersky dijo que su investigación desenterró un archivo injustificado adicional descargar vulnerabilidad de día cero en el agente innorix que desde entonces ha sido parcheado por los desarrolladores.
«Se demora que los ataques especializados del Comunidad Lázaro dirigen a las cadenas de suministro en Corea del Sur continúen en el futuro», dijo Kaspersky.
«Los atacantes asimismo están haciendo esfuerzos para minimizar la detección mediante el crecimiento de un nuevo malware o mejorando el malware existente. En particular, introducen mejoras en la comunicación con el C2, la estructura del comando y la forma en que envían y reciben datos».
