Los actores de amenaza relacionados con Corea del Norte conocidos como Lázaro se atribuyen a campañas de ingeniería social que distribuyen tres malware multiplataforma diferente, conocido como Pondrat, Themeforestrat y Remotepe.
El ataque observado por FOX-IT de NCC Group en 2024 organizaciones dirigidas en el sector de finanzas distribuidas (DEFI), lo que finalmente lleva a compromisos en el sistema de empleados.
«A partir de ahí, los actores hicieron descubrimientos dentro de la red utilizando diferentes ratas en combinación con otras herramientas para cosechar credenciales y conexiones proxy, por ejemplo», dijeron Yun Zheng Hu y Mick Koomen. «El actor luego se mueve a ratas sigilosas, lo que probablemente significa la siguiente etapa del ataque».
La cadena de ataque utiliza sitios web falsos en los que los actores de amenaza se hacen pasar por empleados existentes de compañías comerciales en telegrama y programan reuniones con víctimas bajo la apariencia de calendamente y picktime.
Actualmente, se desconoce el vector de acceso inicial exacto, pero el andamio se utiliza para implementar un cargador llamado PerfhLoader y Drop Pondrat, un malware conocido que ha sido evaluado como una variante despojada de poodrat (también conocida como simplesea). La compañía de ciberseguridad dijo que hay alguna evidencia que sugiere que la exploit de día cero del navegador Chrome se está utilizando en el ataque.
También viene con Pondrat y ofrece muchas otras herramientas, incluidas las capturas de pantalla, Keyloggers, credenciales de Chrome, Cookie Steeler, Mimikats, FRPC, programas proxy como MidProxy y Proxy Mini.
«Pont Rat es una rata simple que permite a los operadores leer y escribir archivos, iniciar el proceso y ejecutar ShellCode», agregó Fox-It, fechado al menos en 2021.
El malware Pondrat está diseñado para comunicarse a través de HTTP utilizando un servidor de comando y control codificado (C2), y recibe más instrucciones. TheeforStrat Bots directamente en la memoria a través de Pondrat o un cargador dedicado.
Póngase en contacto con el servidor C2 a través de HTTP con el nuevo monitor de sesión de escritorio remoto (RDP) y el nuevo monitor de sesión de escritorio remoto (RDP) para enumerar archivos/directorios, realizar operaciones de archivos, ejecutar comandos, ejecutar comandos, realizar conexiones TCP, realizar conexiones TCP, obtener el archivo basado en el disco, basado en los archivos de tiempo de tiempo basados en archivos diferentes. La cantidad de tiempo.
FOX-IT dijo que ThemeForestrat comparte similitudes con Romeogolf, el nombre en código de malware utilizado por el Grupo Lázaro en un ataque de limpiaparabrisas destructivo contra Sony Pictures Entertainment (SPE) en noviembre de 2014. Fue documentado por Novetta como parte de una colaboración conocida como Operation Blockbuster.
Remotepe, por otro lado, es recuperado del servidor C2 por Remotepeloader y cargado por DPAPILOADER. Remotepe escrito en C ++ es una rata más avanzada y puede reservarse para objetivos de alto valor.
«El Pondrat es una rata primitiva que ofrece poca flexibilidad, pero para lograr su propósito como la primera carga útil», dijo Fox. «Para tareas más complicadas, los actores usan theforestrat. ThmeForStatat tiene más características y se carga solo en la memoria, por lo que permanece bajo el radar».
Source link
