Grupo Lazarus continúa hostigando entidades financieras en LatinoAmérica



El grupo Lazarus lleva bastante tiempo activo y ha tenido como objetivo el robo de entidades financieras, tenemos ejemplos de sus atracos en Bancos Chilenos, Mexicanos, Indios  , estas entidades financieras por lo general están ubicadas tanto en Asia como en LatinoAmerica. De hecho la semana pasada fueron detectados robando millones en cajeros automáticos (ATM) tanto en asia y áfrica.

Un reporte de trendmicro detectó una nueva actividad asociada a este grupo de CiberDelincuentes asociadas a un BackDoor en varias entidades financieras ubicadas en LatinoAmérica.

El grupo ahora está utilizando la evolución de una de sus herramientas que utilizo en Asia para vulnerar entidades financieras el 2017 la cual TrendMicro apodo con el nombre de BKDR_BINLODR.ZNFJ-A

Análisis del Backdoor utilizado el 2018


El grupo Lazarus utilizó una serie de puertas traseras en sus ataques de 2018, empleando una técnica complicada que involucra tres componentes principales:

  • AuditCred.dll / ROptimizer.dll (detectado por Trend Micro como BKDR_BINLODR.ZNFJ-A) - DLL del cargador que se inicia como un servicio
  • Msadoz <n> .dll (detectado por Trend Micro como BKDR64_BINLODR.ZNFJ-A) - puerta trasera encriptada n = número de caracteres en el nombre del archivo dll del cargador
  • Auditcred.dll.mui / rOptimizer.dll.mui (detectado por Trend Micro como TROJ_BINLODRCONF.ZNFJ-A): archivo de configuración cifrado

La DLL del cargador se instala como un servicio y utiliza diferentes nombres (AuditCred y ROptimizer) en diferentes máquinas. Sin embargo, todavía tienen las mismas capacidades y son esencialmente el mismo archivo. Su propósito es cargar Msadoz <n> .dll para descifrarlo y ejecutarlo en la memoria.

Si se instala correctamente como servicio este tiene la capacidad de ejecutar las siguientes funciones:

  • Recopilar información de archivo / carpeta / unidad
  • Descargar archivos y malware adicional
  • Iniciar / terminar / enumerar procesos
  • Actualizar datos de configuración
  • Borrar archivos
  • Inyectar código de archivos a otro proceso en ejecución
  • Utilizar proxy
  • Ejecutar Shell Reversa
  • Ejecutar en modo pasivo: en lugar de conectarse activamente al servidor de comando y control (C&C), la el backdoor se abrirá y escuchará un puerto y luego recibirá los comandos a través de él.

También es importante tener en cuenta que si bien el componente del cargador y el archivo de configuración se encuentran en el mismo directorio (% windows% \ system32), backdoor se encuentra en un directorio diferente (% Archivos de programa% \ Archivos comunes \ Sistema \ ado ). Esta configuración compleja hace que sea más difícil detectar y eliminar todas las puertas traseras, y es más eficaz para ocultar cualquier actividad.

La complejidad y las capacidades de estas puertas traseras presentan un problema difícil para las organizaciones seleccionadas. Es un ataque sofisticado que necesita soluciones de seguridad igualmente sofisticadas.