Ataques de Ciberseguridad: LazyScript toma vuelo en 2021

Analizamos los últimos ataques de ciberseguridad

Analizamos los últimos ataques de ciberseguridad

Otro Lunes y los ataques de ciberseguridad siguen poniendo en duda la sustentabilidad de los sistemas de muchas companías.

Los ataques de ciberseguridad como los de  LazyScript tiene similitudes con algunos grupos de Oriente Medio, pero parece ser una operación distinta en sí misma, dice Malwarebytes.

Un nuevo grupo de amenazas con algunas similitudes con otros actores conocidos de amenazas persistentes avanzadas (APT) está atacando a la Asociación Internacional de Transporte Aéreo  (IATA), varias aerolí-neas e individuos que planean emigrar a Canadá en programas gubernamentales relacionados con el trabajo.

La operación de phishing dirigida ha estado activa desde al menos 2018.

El seguimiento continuo muestra que el actor de amenazas continúa actualizando activamente la infraestructura y los conjuntos de herramientas de malware, según un nuevo informe de Malwarebytes.

Basado en el enfoque estricto del objetivo del grupo y sus herramientas y métodos, el proveedor de seguridad ha designado al atacante como un nuevo APT, que está rastreando como LazyScripter.

Hacer inteligencia y captar información

El motivo principal del grupo parece ser robar información e inteligencia de las víctimas, tanto para uso actual como para futuros ataques dirigidos.

Hossein Jazi, analista senior de inteligencia de amenazas en Malwarebytes, dice que el análisis de su compañía sugiere que LazyScripter no es tan sofisticado como otros grupos de amenazas, como Lazarus de Corea del Norte y APT28 de Rusia (también conocido como Fancy Bear).

“De hecho, nuestros investigadores descubrieron que este actor no ha desarrollado ningún RAT [troyano de acceso remoto] personalizado y se basa principalmente en el RAT de código abierto y disponible comercialmente para llevar a cabo sus operaciones”.

Los ataques de ciberseguridad levantan vuelo

Malwarebytes dice que su análisis de la actividad de amenazas de LazyScripter muestra que el modus operandi del grupo es utilizar campañas de spam dirigidas para entregar señuelos de phishing a personas de interés en la IATA y otras áreas de enfoque.

Los señuelos tienen principalmente temas relacionados con la IATA, las aerolíneas y la inmigración relacionada con el trabajo a Canadá. Otros temas de phishing utilizados con menos frecuencia incluyen los relacionados con BSPLink, un servicio de liquidación financiera que utilizan muchas aerolíneas, así como turismo, COVID-19, actualizaciones de Microsoft y un programa canadiense para trabajadores calificados.

Como señuelo de phishing, utilizaron principalmente temas relacionados con IATA o relacionados con el trabajo para apuntar a las víctimas. Sin embargo, tenemos
observó varios otros señuelos de phishing que han sido utilizados por este actor.

Éstos son algunos de ellos:

• Seguridad IATA (seguridad de la Asociación de Transporte Aéreo Internacional)
• BSPlink Updater o Upgrade (BSPlink es la interfaz global para que los agentes de viajes y las aerolíneas accedan al
Plan de facturación y liquidación de IATA (BSP)).
• ID IATA ONE
• Kits de soporte de usuario para usuarios de IATA
• Turismo (OMT)
• COVID-19
• Actualizaciones de Microsoft
• Informacion del trabajo
• Programa para trabajadores con habilidades para vivir en Canadá
• Visa de Canadá (CanadaVisa.com es la presencia en línea del bufete de abogados de inmigración Campbell Cohen)

En al menos una campaña, se observó que el actor de la amenaza utilizaba un sitio web legítimo de inmigración canadiense como señuelo de phishing.

Los correos electrónicos de phishing suelen contener objetos incrustados que implementan Octopus y Koadic, dos RAT multietapa de código abierto.

Mitre revela detalles de los ataques de ciberseguridad

MITRE describe Koadic como una herramienta de post-explotación de Windows para pruebas de penetración, creación de implantes y estadificación de cargas útiles.

Octopus es un troyano de Windows que, entre otras cosas, permite el robo de datos, la carga y descarga de archivos, el espionaje y la creación de perfiles del sistema.

Malwarebytes dice que sus investigadores han observado que LazyScripter también descarta otras RAT conocidas anteriormente como LuminosityLink , un malware que permite a los atacantes obtener acceso remoto a los sistemas y espiar a los usuarios, y Remcos, otra herramienta para obtener el control remoto de los sistemas.

KOCTUPUS

Todos los correos electrónicos de phishing recientes de LazyScripter han incluido un cargador de malware que Malwarebytes llama KOCTUPUS.

IT CONNECT

Información de valor para ejecutivos que toman decisiones de negocios

También está asociado con otro cargador, que Malwarebytes ha denominado Empoder, para cargar PowerShell Empire en sistemas infectados.

Jazi dice que algunas características específicas del actor de amenazas incluyen el uso de RAT de varias etapas, la dependencia de lenguajes de scripting para implementar el malware y el uso de proveedores de DNS dinámicos gratuitos para comunicaciones de comando y control.

Otra característica distintiva es el uso de objetos incrustados en lugar de macros para convertir los documentos en armas.

Similitudes con otros grupos

Malwarebytes dice que su análisis de la infraestructura y los conjuntos de herramientas de malware de LazyScripter sugiere una conexión con grupos APT conocidos, como APT28, con sede en Rusia, y el grupo de amenazas iraní OilRig.

APT28

Por ejemplo, se ha asociado anteriormente con Koadic, y OilRig se ha visto usando la misma herramienta que LazyScripter ha estado usando para convertir scripts de PowerShell en ejecutables.

Sin embargo, el grupo con el que LazyScripter tiene más en común es MuddyWater, otro actor de amenazas iraní conocido por centrarse en objetivos en el Medio Oriente.

Malwarebytes dice que su análisis muestra que ambos grupos han usado Empire y Koadic, ambos usan PowerShell y ambos han usado GitHub para alojar cargas útiles maliciosas.

Aun así, las similitudes con otros grupos son demasiado débiles y las diferencias lo suficientemente distintas como para sugerir que LazyScripter es un grupo de APT distinto, dice Malwarebytes.

El actor comparte similitudes con algunos actores de Oriente Medio.

Por lo tanto, existe una alta probabilidad de que el actor tenga su sede [en] Medio Oriente, pero no tenemos suficientes indicadores sólidos para confirmarlo.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lea más

Ciberseguridad corporativa: Pandemia y Paradoja 2021

Dell Technologies: avanza en 2021 a la seguridad intrínseca

Mujeres 2021: pandemia ha frenado el crecimiento profesional

JetBrains 2021: “Yo NO fui” el del ataque de SolarWinds

TheHive nueva versión, “favorito del editor 2021”

 

 

 

 

Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, Ataques de Ciberseguridad, 

93 / 100