El Grup Làzarus, un actor de ciberamenaces altament capacitat i persistent vinculat a Corea del Nord, s’ha observat que està objectiu de versions vulnerables dels servidors Microsoft Internet Information Services (IIS) com una ruta d’invasió inicial per desplegar malware en sistemes objectiu. El Centre d’Emergències de Seguretat d’AhnLab (ASEC) va informar que el grup està utilitzant tècniques de càrrega lateral de DLL per desplegar la biblioteca maliciosa msvcr100.dll, que està dissenyada per desxifrar una càrrega codificada que s’executa després en memòria. La cadena d’atac va implicar també l’explotació d’un plugin de codi obert descontinuat de Notepad ++ anomenat Quick Color Picker per lliurar malware addicional per facilitar el robatori de credencials i el moviment lateral.
El Departament del Tresor dels Estats Units va sancionar recentment quatre entitats i un individu implicats en activitats cibernètiques malicioses i esquemes de recaptació de fons que busquen donar suport a les prioritats estratègiques de Corea del Nord. Això inclou la Universitat d’Automatització de Pyongyang, el Bureau de Reconnexió Tècnica i la seva unitat cibernètica subordinada, el Centre de Recerca 110, Chinyong Information Technology Cooperation Company i un nacional nord-coreà anomenat Kim Sang Man. Es creu que el Grup Làzarus està operat pel Bureau de Reconnexió Tècnica, que supervisa el desenvolupament de tàctiques i eines ofensives de Corea del Nord.
El govern sud-coreà ha advertit que el país és conegut per generar ingressos il·legals d’una força de treball d’informàtics qualificats que es presenten sota identitats fictícies per obtenir treballs en les sectors de tecnologia i moneda virtual arreu del món. Els treballadors oculten deliberadament les seves identitats, ubicacions i nacionalitats, normalment utilitzant personalitats fictícies, comptes de proxy, identitats robades i documents falsificats o forjats per sol·licitar treballs en aquestes empreses. Les empreses haurien de monitoritzar proactivament les relacions d’execució de processos anormals i prendre mesures preventives per evitar que el grup amenaçador dugui a terme activitats com l’extracció d’informació i el moviment lateral.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.