Resumen:
Los ciberdelincuentes adoptan una variedad de técnicas para eludir la protección MotW de Windows.
La función de advertencia de seguridad (Mark-of-the-Web) de Windows, es un servicio que protege a los usuarios contra los archivos provenientes de fuentes no confiables.
La marca en sí es una etiqueta que Windows coloca en los archivos que descarga de Internet. Los archivos con la etiqueta MotW tienen restricciones en sus funciones y en su modo de ejecución dentro del sistema.
Los actores de la amenaza detrás de esta operación, son un subgrupo del colectivo de piratas informáticos de Lazarus, patrocinados por el Estado norcoreano.
Bautizado como BlueNoroff, el grupo utiliza una cadena de infección novedosa que incluye el uso de formatos de archivo de imagen de disco óptico (.ISO) y disco duro virtual (.VHD).
De acuerdo con el aviso de seguridad de Kaspersky, BlueNoroff engaña a sus víctimas haciéndose pasar por empresas de capital y bancos como ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group.
La motivación detrás de estos ciberdelincuentes, parece ser meramente financiera y de espionaje, centrándose en organizaciones de América del Norte y del Sur, Europa y Asia.
En las primeras etapas del método de infección, se lanza un archivo por lotes de Windows cargado con malware que aprovecha un binario “living-off-the-land” (LOLBin) con el objetivo de recuperar un cargador de segunda etapa que se utiliza para obtener y ejecutar una carga útil remota.
El archivo se hace pasar por un software antivirus y desactiva las soluciones EDR para antes de lanzar la carga útil.
La carga útil es un backdoor similar a una amenaza de persistencia anteriormente utilizada en los ataques de SnatchCrypto, pero aún no hay mayor información sobre su ejecución.
Además, en este ataque se ejecutan documentos que contienen nombres de archivo en japonés, lo que sugiere que los objetivos principales de BlueNoroff son de Asia.
Finalmente, múltiples investigadores creen que este grupo tiene una fuerte motivación financiera, por lo que es muy poco probable que sus ataques disminuyan a futuro.
La “guerra cibernética” se ha convertido en una de las motivaciones principales de Corea del Sur, porque es una importante fuente de ingresos para la economía del país, advierten distintos analistas.
De este modo, se espera que en los próximos años haya un aumento en las amenazas patrocinadas por el Estado Norcoreano contra organizaciones alrededor de todo el mundo.
Dicho esto, se le insta a todas las organizaciones a mantener sus sistemas y entornos de operación al día, con el objetivo de mitigar cualquier tipo de amenaza.
Recomendaciones:
Prácticas básicas para mitigar cualquier ataque de ciberseguridad
Mantener los dispositivos actualizados
Instalar los últimos parches disponibles
Activar la autenticación multifactor
Activar las reglas de firewall
Guardar copias de seguridad
Referencias:
https://thehackernews.com/2022/12/bluenoroff-apt-hackers-using-new-ways.html?m=1
https://decrypt.co/118031/north-korea-linked-lazarus-group-poses-as-vc-firms-to-spread-malware
https://www.darkreading.com/attacks-breaches/windows-mark-of-the-web-zero-days-patchless-exploit
SÍGUENOS