ThreatNeedle Malware
ThreatNeedle Malware es una amenaza de puerta trasera que los investigadores de infosec han observado que forma parte del arsenal amenazador del grupo de ATP (Amenaza persistente avanzada) de Corea del Norte llamado Lazarus (también conocido como APT38 y Hidden Cobra). La primera vez que se implementó esta pieza de malware en particular en un ataque activo fue en 2018 cuando Lazarus apuntó a un intercambio de criptomonedas de Hong Kong y a un desarrollador de juegos móviles.
En su última operación, los piratas informáticos han vuelto a utilizar ThreatNeedle Malware. Esta vez, la campaña de ataque está dirigida a objetivos de la industria de defensa ubicados en más de una docena de países repartidos por todo el mundo. Para infiltrarse en los objetivos seleccionados, Lazarus utiliza un esquema de spear-phishing finamente elaborado. Los piratas informáticos recopilan información de las redes sociales sobre un empleado seleccionado y luego envían un mensaje de correo electrónico personalizado diseñado para que parezca que ha sido enviado por la organización del empleado. El correo electrónico contiene un documento de Word con malware o un enlace a un servidor remoto bajo el control de los piratas informáticos. Abrir el documento o hacer clic en el enlace inicia la primera parte de una cadena de ataque de varias etapas.
Durante este paso del ataque, Lazarus realiza principalmente un reconocimiento inicial, y luego se determina si el ataque se intensificaría al colocar malware adicional en el sistema comprometido y comenzar a moverse lateralmente a través de la red interna. ThreatNeedle permite a los piratas informáticos obtener un control total sobre el sistema, ejecutar comandos arbitrarios, manipular los sistemas de archivos y directorios, recopilar y exfiltrar datos, controlar los procesos de puerta trasera y obligar al dispositivo infectado a entrar en hibernación o entrar en modo de suspensión.
El aspecto más amenazante de esta última operación llevada a cabo por Lazarus es la capacidad de los piratas informáticos para superar la segmentación de la red. Esto significa que incluso si la organización objetivo ha dividido su red interna en una parte conectada a la Internet pública y una sección que está aislada. La violación se lleva a cabo tomando el control de un dispositivo de enrutador interno y configurándolo para que actúe como un servidor proxy. Los atacantes pueden luego exfiltrar los datos recopilados de la red de Intranet a su servidor remoto.
