El actor de amenazas vinculado a Corea del Norte, conocido como el Grupo Lazarus, ha sido atribuido a una campaña de ingeniería social que distribuye tres tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT y RemotePE.
El ataque, observado por Fox-IT del Grupo NCC en 2024, tuvo como objetivo una organización del sector de las finanzas descentralizadas (DeFi), lo que finalmente provocó la vulneración del sistema de un empleado.
"A partir de ahí, el actor realizó el descubrimiento desde dentro de la red utilizando diferentes RAT en combinación con otras herramientas, por ejemplo, para recopilar credenciales o conexiones proxy", explicaron Yun Zheng Hu y Mick Koomen. "Posteriormente, el actor cambió a un RAT más sigiloso, lo que probablemente indica una siguiente etapa del ataque".
La cadena de ataque comienza cuando el actor de amenazas se hace pasar por un empleado de una empresa comercial en Telegram y utiliza sitios web falsos que se hacen pasar por Calendly y Picktime para programar una reunión con la víctima.
Aunque actualmente se desconoce el vector de acceso inicial exacto, se aprovecha esta posición para desplegar un cargador llamado PerfhLoader, que posteriormente instala PondRAT, un malware conocido que se considera una variante simplificada de POOLRAT (también conocido como SIMPLESEA). La empresa de ciberseguridad afirmó que existen pruebas que sugieren que en el ataque se utilizó un exploit Zero-Day del navegador Chrome.
Junto con PondRAT, se incluyen otras herramientas, como un capturador de pantalla, un keylogger, un ladrón de credenciales y cookies de Chrome, Mimikatz, FRPC y programas proxy como MidProxy y Proxy Mini.
"PondRAT es un RAT sencillo que permite al operador leer y escribir archivos, iniciar procesos y ejecutar shellcode", declaró Fox-IT, añadiendo que data de al menos 2021. "El atacante utilizó PondRAT en combinación con ThemeForestRAT durante aproximadamente tres meses, para posteriormente limpiar e instalar el RAT más sofisticado llamado RemotePE".
El malware PondRAT está diseñado para comunicarse mediante HTTP(S) con un servidor de comando y control (C2) codificado para recibir instrucciones adicionales. ThemeForestRAT se ejecuta directamente en memoria, ya sea mediante PondRAT o un cargador dedicado.
Al igual que PondRAT, ThemeForestRAT monitoriza nuevas sesiones de Escritorio Remoto (RDP) y contacta con un servidor C2 mediante HTTP(S) para recuperar hasta veinte comandos que enumeran archivos/directorios, realizan operaciones con archivos, ejecutan comandos, prueban la conexión TCP, marcan la hora de un archivo basándose en otro archivo en el disco, obtienen la lista de procesos, descargan archivos, inyectan código shell, generan procesos e hibernan durante un tiempo específico.
Fox-IT afirmó que ThemeForestRAT comparte similitudes con un malware con nombre en código RomeoGolf, utilizado por el Grupo Lazarus en el destructivo ataque de borrado de noviembre de 2014 contra Sony Pictures Entertainment (SPE). Novetta lo documentó como parte de una iniciativa colaborativa conocida como Operación Blockbuster.
RemotePE, por otro lado, se recupera de un servidor C2 mediante RemotePELoader, que, a su vez, se carga mediante DPAPILoader. Escrito en C++, RemotePE es un RAT más avanzado, probablemente reservado para objetivos de alto valor.
"PondRAT es un RAT primitivo que ofrece poca flexibilidad; sin embargo, como carga inicial, cumple su propósito", afirmó Fox-IT. "Para tareas más complejas, el actor utiliza ThemeForestRAT, que ofrece más funcionalidad y permanece oculto, ya que se carga solo en memoria".
Fuente: THN