El grupo de cibercriminales Lazarus está evolucionando sus campañas maliciosas enfocadas a los contratistas aeroespaciales y de defensa, a quienes busca espiar y robar información.
Jean-Ian Boutin, director de ESET Threat Research, recordó que este grupo de piratas informáticos parece estar ligado al régimen de Corea del Norte y ya tiene un largo historial criminal, destacando el ataque a Sony Picture Entertainment y su participación en la campaña WannaCry.
Durante ESET World 2022, detalló que un subgrupo de Lazarus ya había llevado a cabo una campaña contra contratistas aeroespaciales y de defensa europeos hace dos años, la cual se llamó In(ter)ception.
Lo que es interesante es que apuntaron a contratistas de defensa basados en Europa usando un equipo falso de reclutamiento”.
Los criminales hacían en LinkedIn un perfil falso de reclutador de la empresa contratista de defensa estadunidense Rockwell Collins, colocaban ofertas de empleo y cuando alguien caía los llevaba a descargar un archivo con malware.
ALERTA
En los ataques relevantes de 2021- 2022, Lazarus apuntó a empresas en Francia, España, Italia, Alemania, Países Bajos, Polonia, Ucrania y Brasil.
RECICLAN MÉTODOS
Si bien los tipos de código malicioso utilizados son diferentes en las campañas contra el sector, el modus operandi inicial siempre es el mismo, es decir, un reclutador falso contactó a un empleado. Lo que cambia es que el falso reclutador ahora también utiliza otros servicios de mensajería instantánea como Messenger, Slack o WhatsApp para comunicarse con la víctima. A lo que se añade que reutilizan elementos legítimos de campañas de contratación para agregar legitimidad a los anuncios en LinkedIn de sus reclutadores falsos.
El director ESET Threat Research destacó una campaña realizada en Países Bajos en septiembre de 2021, ya que el reclutador se hacía pasar como un miembro de Amazon. El uso de dicha empresa parece extraño, hasta que se recuerda que la tecnológica tiene Project Kuiper para ofrecer servicios de internet vía satelital.
Otro caso que pasó en Turquía demuestra que los atacantes están dispuestos a volver a vulnerar antiguos objetivos, porque la empresa afectada en este caso ya había sido víctima.
Fuente: Excélsior
ra