Hackers norcoreanos apuntan a empresas de defensa con malware ThreatNeedle

Un grupo de piratas informáticos patrocinado por el estado de Corea del Norte se ha vinculado a una nueva campaña de espionaje en curso destinada a exfiltrar información confidencial de organizaciones de la industria de defensa. Al atribuir los ataques con gran confianza al Grupo Lazarus, los nuevos hallazgos de Kaspersky señalan una expansión de las tácticas del actor de APT al ir más allá de la gama habitual de crímenes motivados financieramente para financiar el régimen con problemas de liquidez.

Esta ampliación de sus intereses estratégicos ocurrió a principios de 2020 al aprovechar una herramienta llamada ThreatNeedle, dijeron los investigadores Vyacheslav Kopeytsev y Seongsu Park en un artículo del jueves. A un alto nivel, la campaña aprovecha un enfoque de varios pasos que comienza con un ataque de spear-phishing cuidadosamente diseñado que finalmente lleva a los atacantes a obtener el control remoto de los dispositivos.

ThreatNeedle se envía a los objetivos a través de correos electrónicos con temas de COVID con archivos adjuntos maliciosos de Microsoft Word como vectores de infección inicial que, cuando se abren, ejecutan una macro que contiene código malicioso diseñado para descargar y ejecutar cargas útiles adicionales en el sistema infectado.

El malware de la siguiente etapa funciona incorporando sus capacidades maliciosas dentro de una puerta trasera de Windows que ofrece funciones para el reconocimiento inicial y la implementación de malware para el movimiento lateral y la exfiltración de datos. “Una vez instalado, ThreatNeedle puede obtener el control total del dispositivo de la víctima, lo que significa que puede hacer de todo, desde manipular archivos hasta ejecutar comandos recibidos”, dijeron los investigadores de seguridad de Kaspersky. Kaspersky encontró superposiciones entre

ThreatNeedle y otra familia de malware llamada Manuscrypt que ha sido utilizada por Lazarus Group en campañas de piratería anteriores contra las industrias de criptomonedas y juegos móviles, además de descubrir conexiones con otros clústeres de Lazarus como AppleJeus, DeathNote y Bookcode.

Fuente: North Korean Hackers Targeting Defense Firms with ThreatNeedle Malware (thehackernews.com)