El Grupo Lazarus es un grupo de ciberdelincuentes que se cree tiene vínculos con el gobierno de Corea del Norte. Han estado activos desde principios de la década de 2010 y han llevado a cabo una serie de operaciones cibernéticas a nivel mundial. Aquí hay algunos aspectos clave sobre el Grupo Lazarus:

  1. Orígenes Norcoreanos: Lazarus es conocido por ser uno de los grupos de amenazas persistentes avanzadas (APT) respaldados por el estado norcoreano. Se cree que operan con el respaldo del gobierno y trabajan en línea con los objetivos políticos de Corea del Norte.
  2. Diversidad de Objetivos: El grupo Lazarus ha dirigido sus operaciones a una amplia gama de objetivos, incluyendo instituciones financieras, organizaciones gubernamentales, empresas y otras entidades. Han llevado a cabo ataques con motivos financieros, de espionaje y de desestabilización.
  3. Ataques Financieros: Lazarus ha sido responsable de varios ataques a instituciones financieras y sistemas de criptomonedas con el objetivo de robar fondos. Uno de los incidentes más notorios fue el ataque al Banco de Bangladesh en 2016, donde lograron robar millones de dólares.
  4. Uso de Herramientas Avanzadas: El grupo Lazarus ha demostrado habilidades técnicas avanzadas y ha utilizado herramientas de malware sofisticadas en sus operaciones. Han desarrollado y empleado varios tipos de malware, incluidos troyanos y ransomware.
  5. Operaciones a Nivel Mundial: Lazarus no se ha limitado a actividades dentro de Corea del Norte, sino que ha llevado a cabo operaciones a nivel mundial. Han apuntado a instituciones en varios países, lo que ha llevado a la comunidad internacional a prestar atención a sus actividades.
  6. Campañas de Desinformación: Además de sus actividades cibernéticas, Lazarus también se ha visto involucrado en campañas de desinformación. Han utilizado tácticas para difundir propaganda y manipular la percepción pública.

Etapas del Ultimo evidenciamiento

Según la información que se ha recopilado, se pueden identificar las siguientes etapas en el último evidenciamiento del Grupo Lazarus:

  1. Identificación de la Vulnerabilidad:
    • Lazarus identifica una vulnerabilidad crítica en el Kernel de Windows, específicamente la CVE-2024-21338, que permite la escalada de privilegios y la obtención de acceso a nivel de kernel.
  2. Desarrollo del Exploit:
    • Se desarrolla un exploit para aprovechar la vulnerabilidad identificada, utilizando el controlador appid.sys como vector de ataque. Este exploit permite la ejecución de código arbitrario y la obtención de privilegios a nivel de sistema.
  3. Implementación del Rootkit FudModule:
    • Lazarus implementa su rootkit FudModule en los sistemas comprometidos. Este rootkit, diseñado para operar de manera discreta y bajo demanda, realiza manipulaciones directas de objetos en el kernel y está específicamente diseñado para eludir la detección y desactivar medidas de seguridad.
  4. Explotación de un Controlador Vulnerable (appid.sys):
    • Lazarus aprovecha una vulnerabilidad de día cero en el controlador appid.sys, crítico para el funcionamiento de AppLocker, un componente de Windows responsable del control de aplicaciones. Esta táctica va más allá de un ataque Bring Your Own Vulnerable Driver (BYOVD), ya que explota una vulnerabilidad en un controlador ya instalado en la máquina de destino.
  5. Desactivación de Soluciones de Seguridad:
    • FudModule está diseñado para desactivar selectivamente soluciones de seguridad específicas, como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro y Microsoft Defender Antivirus. Además, se toman medidas para eludir la detección desactivando los registradores del sistema.
  6. Uso de Técnicas de Evitación y Sigilo:
    • Lazarus demuestra un alto nivel de sofisticación técnica al utilizar técnicas avanzadas para evitar la detección, como la desactivación de registradores del sistema y la integración cuidadosa de FudModule en su ecosistema de malware.
  7. Enfoque Multiplataforma:
    • Se destaca el enfoque multiplataforma del Grupo Lazarus al utilizar enlaces de invitación a reuniones de calendario falsos para instalar sigilosamente malware en sistemas Apple macOS.
  8. Iteración Continua y Mejora del Arsenal:
    • El desarrollo y uso de FudModule representa un ejemplo de la continua iteración y mejora del arsenal del Grupo Lazarus, indicando su capacidad para evolucionar y mejorar sus tácticas con el tiempo.

Estas etapas reflejan la complejidad y la sofisticación de las operaciones del Grupo Lazarus en su último evidenciamiento, destacando la importancia de adoptar medidas de seguridad sólidas para mitigar sus amenazas.

Rastreo e Historia

El Grupo Lazarus es una entidad ciberdelictiva respaldada por el estado norcoreano que ha estado activa desde principios de la década de 2010. Su historia se centra en una serie de operaciones cibernéticas a nivel global, abarcando objetivos financieros, gubernamentales y empresariales. Lazarus ha ganado notoriedad por sus ataques a instituciones financieras, incluido el robo de millones de dólares al Banco de Bangladesh en 2016. Además, el grupo ha demostrado una sofisticación técnica mediante el desarrollo y uso de herramientas avanzadas de malware. Sus actividades no se limitan a Corea del Norte, ya que han dirigido operaciones en todo el mundo, generando preocupaciones a nivel internacional. Lazarus también se ha involucrado en campañas de desinformación, utilizando tácticas para difundir propaganda y manipular la percepción pública. A lo largo del tiempo, el grupo ha evolucionado para adaptarse a las medidas de seguridad, manteniendo su estatus como una amenaza cibernética persistente y avanzada respaldada por el estado norcoreano.

Recomendaciones de Seguridad

Considerando la amenaza específica del Grupo Lazarus y su capacidad técnica avanzada, aquí hay cuatro recomendaciones de seguridad adicionales enfocadas en mitigar riesgos asociados con posibles ataques de Lazarus:

  • Monitoreo Activo de Actividades Anómalas
  • Segmentación de Redes y Sistemas Críticos
  • Formación Específica en Amenazas Avanzadas
  • Implementación de Medidas Anti-Rootkit

Ciberdelincuentes