El Grupo Lazarus, una amenaza persistente avanzada y altamente capaz vinculada a Corea del Norte, ha sido observado dirigiéndose a versiones vulnerables de servidores Microsoft Internet Information Services (IIS) como ruta de brecha inicial para desplegar malware en sistemas objetivo. El Centro de Respuesta de Emergencia de Seguridad de AhnLab (ASEC) informó que el grupo está utilizando técnicas de carga lateral de DLL para desplegar la biblioteca maliciosa msvcr100.dll, que está diseñada para descifrar una carga codificada que luego se ejecuta en memoria. La cadena de ataque implicó además la explotación de un plugin de código abierto descontinuado de Notepad ++ llamado Quick Color Picker para entregar malware adicional con el fin de facilitar el robo de credenciales y el movimiento lateral.
El Departamento del Tesoro de los Estados Unidos recientemente sancionó a cuatro entidades y a un individuo involucrados en actividades cibernéticas maliciosas y esquemas de recaudación de fondos destinados a apoyar las prioridades estratégicas de Corea del Norte. Esto incluye la Universidad de Automatización de Pyongyang, el Buró de Reconocimiento Técnico y su unidad cibernética subordinada, el Centro de Investigación 110, la Compañía de Cooperación Tecnológica Chinyong y un ciudadano norcoreano llamado Kim Sang Man. Se cree que el Grupo Lazarus es operado por el Buró de Reconocimiento Técnico, que supervisa el desarrollo de Corea del Norte de tácticas y herramientas cibernéticas ofensivas.
El gobierno de Corea del Sur ha advertido que el país se conoce por generar ingresos ilícitos de una fuerza de trabajo de expertos en TI que se hacen pasar por identidades ficticias para obtener trabajos en las sectores de tecnología y moneda virtual en todo el mundo. Los trabajadores ocultan deliberadamente sus identidades, ubicaciones y nacionalidades, generalmente usando personajes falsos, cuentas proxy, identidades robadas y documentación falsificada o forjada para postularse a estas empresas. Las empresas deben monitorear de manera proactiva las relaciones de ejecución de procesos anormales y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como el exfiltración de información y el movimiento lateral.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.