ACTUALIZACIÓN DEL GRUPO LAZARUS

25/02/2023

BOLETÍN NRO 2023-127

Recientemente se ha detectado una nueva actividad del grupo Lazarus, el cual ha estado usando técnicas antiforense en diferentes ataques dirigidos a empresas coreanas.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---		Severidad:   ALTA
Amenaza: Lazarus		Categoría: Actualización

Durante el último año, el malware del grupo Lazarus ha sido detectado en varias empresas coreanas relacionadas con la defensa nacional, satélites, software y medios de prensa. Un grupo de investigadores ha estado rastreando continuamente las actividades del grupo de amenazas Lazarus y otros TTP relacionados.

Los objetivos de los ciberdelincuentes generalmente incluyen la detección de evasión y obstrucción de la recopilación de información, el aumento del tiempo de análisis de los analistas forenses digitales, la deshabilitación o mal funcionamiento de las herramientas forenses digitales y el bloqueo, omisión o eliminación de registros para ocultar rastros de acceso o ejecución de herramientas.

El grupo Lazarus llevó a cabo pruebas antiforense para ocultar sus actos maliciosos. Las técnicas antiforense dificultan el análisis forense y se dividen en 5 categorías principales: ocultación de datos, eliminación de artefactos, ofuscación de rastros, ataques contra la informática forense y física. El grupo Lazarus utilizó la ocultación de datos, la eliminación de artefactos y la ofuscación de rastros, un total de 3 técnicas.

La ocultación de datos se refiere al método de ocultar datos que dificulta su detección. Los principales ejemplos incluyen la ofuscación de datos, el cifrado, la esteganografía y la ocultación de datos en áreas no asignadas.

El grupo Lazarus cifró su malware en tres partes: el cargador, el archivo ejecutable y el archivo de configuración, para evadir la detección por parte de los productos de seguridad.

También utilizó una carpeta del sistema como escondite o imitó el nombre de un archivo normal para ocultar su malware. Por otro lado, la eliminación de artefactos se refiere a la tarea de eliminar permanentemente archivos específicos o todo el sistema de archivos.

El grupo Lazarus eliminó el malware y los artefactos que surgieron mientras se realizaba el comportamiento malicioso.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Aplicar sementacion, pirncipios de privigelios minios, desactivar powershel, principio de minio privilegio.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Anti-Forensic Techniques Used By Lazarus Group
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​