Grupo de amenazas de Corea del Norte explota el error de ManageEngine ServiceDesk

-


Se observó que el Grupo Lazarus utilizaba exploits conocidos, como el error de Zoho ManageEngine ServiceDesk, para lanzar ataques, según una investigación de Cisco Talos. 

El actor de amenazas patrocinado por el estado norcoreano, Grupo Lazarus, fue observado explotando una vulnerabilidad de ManageEngine ServiceDesk para lanzar ataques contra un proveedor de backbone de internet de tamaño medio en el Reino Unido y varias entidades de salud en Europa y Estados Unidos.

En una publicación de blog del 24 de agosto, los investigadores de Cisco Talos dijeron que esta fue la tercera campaña documentada atribuida a Lazarus en menos de un año, con el actor de amenazas reutilizando la misma infraestructura en estas operaciones.

“Lazarus es un actor de amenazas altamente motivado que realiza operaciones para espionaje, robo de datos y ganancias monetarias para Corea del Norte”, dijo Asheer Malhotra, investigador de amenazas en Cisco Talos. “Este nuevo ataque que explota la aplicación ManageEngine ServiceDesk es evidencia de que Lazarus ha estado utilizando cada vez más vulnerabilidades conocidas para atacar a empresas que tardan en parchear sus sistemas expuestos en internet.

Malhotra dijo que aunque Lazarus genera constantemente nuevos implantes que les ayudan a eludir mecanismos de detección tradicionales, en esta campaña específica han reutilizado infraestructura previa, lo que presenta nuevas oportunidades para que los equipos de seguridad rastreen a Lazarus.

En esta campaña, Malhotra dijo que los atacantes utilizaron un troyano de acceso remoto (RAT) para explotar una vulnerabilidad crítica de ManageEngine ServiceDesk (9.8 CVSS) — CVE-2022-47966 — cinco días después de que se divulgaran públicamente las pruebas de concepto (POCs) para el exploit, para entregar una nueva amenaza de malware que los investigadores identifican como QuiteRAT. Los investigadores de seguridad descubrieron QuiteRAT por primera vez en febrero, pero se ha escrito poco sobre él desde entonces.

Malhotra explicó que QuiteRAT tiene muchas de las mismas capacidades que el malware MagicRAT, mejor conocido del Grupo Lazarus, pero su tamaño de archivo es significativamente menor. Ambos implantes están construidos sobre el marco Qt e incluyen capacidades como la ejecución de comandos arbitrarios.

Mientras realizaba su investigación sobre los exploits en el error de ManageEngine ServiceDesk, Malhotra dijo que los investigadores también encontraron una nueva tercera cepa de malware: CollectionRAT, que también detallaron en una segunda publicación de blog el 24 de agosto. Malhotra explicó que CollectionRAT es completamente diferente de QuiteRAT y MagicRAT y utiliza el marco MFC de Microsoft para implementar su funcionalidad.

“Tanto QuiteRAT como CollectionRAT tienen la capacidad de aceptar comandos arbitrarios de los servidores de comando y control y ejecutarlos en los sistemas infectados”, dijo Malhotra. “Estos implantes también pueden ser utilizados para desplegar malware adicional y herramientas de doble uso para avanzar en la infección y realizar actividades maliciosas con manos en el teclado. Debido a funcionalidades similares, ambos implantes pueden ser categorizados bajo el paraguas de tipos de malware RAT.”

Malhotra explicó que un desarrollo significativo con CollectionRAT fue que observaron a Lazarus usando marcos de código abierto al principio del proceso de acceso. Malhotra dijo que Lazarus es conocido por producir implantes de malware maliciosos a la velocidad de la luz y esto presenta algunos desafíos para el actor de amenazas.

“Generar constantemente nuevos implantes requiere una cantidad sustancial de desarrollo, pruebas y esfuerzos de evasión”, dijo Malhotra. “El uso de herramientas de código abierto puede remediar estos problemas ya que son marcos que están listos para usar y han demostrado ser altamente efectivos para otros actores tanto en el espacio APT como en el crimeware. Otra ventaja clave de usar herramientas de código abierto durante la fase de acceso inicial es que dificulta que los analistas atribuyan estos compromisos iniciales a un actor de amenazas específico como Lazarus.”

Mayuresh Dani, gerente de investigación de amenazas en Qualys, agregó que el uso de herramientas de código abierto en cualquier fase del ataque permite a los actores de amenazas evitar ser perfilados y que el uso sea considerado como uno poco sofisticado, lo que facilita no levantar alertas al principio de su campaña.

“Normalmente, cuando se comparten IOCs frescos con herramientas específicas a través de un feed o entre grupos, los equipos de seguridad tienden a centrarse primero en estos IOCs de alta prioridad en lugar de mirar amenazas conocidas”, dijo Dani. “Esto les da tiempo para ganar un punto de apoyo y luego desplegar su herramienta personalizada no detectada. Para cuando los respondedores lleguen a estos IOCs conocidos y los validen, la carga útil no detectada ya habría sido desplegada y esto da a los actores de amenazas más posibilidades de un ataque exitoso.”

Sobre el tema de si CollectionRAT es realmente un nuevo malware, Ken Westin, CISO de campo en Panther Labs, dijo que, al igual que los desarrolladores de software legítimos, los grupos APT y los sindicatos cibercriminales sofisticados siguen prácticas similares, tomando de código existente, utilizando herramientas de código abierto y replicando funcionalidades que ven en otras herramientas.

“Aunque es nuevo para el Grupo Lazarus, CollectionRAT no es un código particularmente novedoso, replica funcionalidades que vemos en muchos kits de herramientas de malware, así que veo a CollectionRAT como otra herramienta en una caja de herramientas más grande que el Grupo Lazarus usa en sus actividades”, dijo Westin.

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más