Sin límites de SO: nuevo ataque de Lazarus abarca todas las plataformas populares

Los especialistas del 360 Advanced Threat Research Institute han descubierto una nueva campaña del grupo norcoreano Lazarus (APT-C-26), en la que se están propagando paquetes maliciosos de PyPI.

Lazarus continúa con su actividad, dirigida a ciberataques en diversas industrias. Esta vez, los objetivos de los hackers incluyen no solo instituciones financieras y criptobolsas, sino también organismos gubernamentales, la industria aeroespacial y estructuras militares en todo el mundo. El objetivo principal de los ataques es obtener beneficios financieros y robar información confidencial.

Los paquetes maliciosos se cargan en PyPI bajo la apariencia de bibliotecas legítimas. Los paquetes no despiertan sospechas entre los desarrolladores, que pueden instalarlos accidentalmente en sus proyectos. Los paquetes infectados están diseñados para varios sistemas operativos y sirven para iniciar ataques de múltiples niveles.

Cadena de infección de Lazarus

En el ejemplo de uno de los paquetes, se puede ver cómo funciona el mecanismo malicioso. Al instalar el paquete, bajo ciertas condiciones, se ejecuta el archivo init.py, que decodifica el código malicioso y lo guarda como un archivo DLL. Luego, la DLL se ejecuta mediante el comando rundll32, lo que permite a los atacantes ejecutar comandos maliciosos.

Para Windows, el paquete malicioso contiene una carga útil cifrada que se descifra gradualmente y se carga en la memoria, sin dejar rastros en el disco. En Linux, el paquete malicioso carga un archivo ELF con un conjunto completo de funciones de control remoto. En macOS, el código malicioso es similar a la versión de Linux, lo que sugiere que el proceso de ataque es análogo.

Según el análisis, uno de los archivos detectados (config.py) contiene código malicioso que se utiliza para propagar aún más los ataques. config.py carga y descifra nuevas DLL, colocándolas en directorios del sistema, incluido OneDrive. Luego, los archivos se ejecutan a través del programador de tareas, configuraciones de registro o directorios de inicio automático.

Los componentes del ataque incluyen cifrado de datos y el uso de claves especiales para descifrarlos. Por ejemplo, el archivo credential.sys se descifra dos veces antes de que se cargue y ejecute una nueva DLL "Comebacker", que luego descarga y ejecuta el código malicioso de la siguiente etapa.

Para Linux, los paquetes maliciosos utilizan un método de propagación similar. Al instalar el paquete, se ejecuta un código que descarga el software malicioso desde un servidor remoto. En macOS, los archivos maliciosos también utilizan métodos similares y tienen funciones análogas a las versiones de Linux.

Los ataques demuestran un alto nivel de preparación y organización, característicos de Lazarus. El uso de métodos de cifrado complejos y ataques de múltiples niveles, así como la capacidad de atacar varios sistemas operativos simultáneamente, hace que el grupo sea uno de los más peligrosos en la actualidad. Las organizaciones y los individuos deben estar especialmente atentos y tomar medidas para proteger sus sistemas contra tales amenazas.