El Actor del Mes. Hoy con “Lazarus Group”

Al igual que en la serie “Mindhunter” en la que podemos ver una unidad del FBI denominada ciencia del comportamiento, en ciberseguridad podemos y debemos tener también una unidad del “cibercomportamiento” para poder detectar quienes son los malos, como actúan y así poder mitigar los posibles daños y ataques. Para ello debemos hacer un poco de retrospectiva y mirar hacia el pasado. Por ello, desde Derecho de la Red hemos pensado en esta nueva serie de artículos.

En esta serie pretendemos presentar a un nuevo actor mensualmente. La historia de ese actor, formas de actuación… e incluso IOCs.

Este mes, por ser el primer actor, vamos a tratar el grupo Lazarus Group. Este actor es bastante conocido en el panorama de la ciberseguridad y lleva ya unos cuantos años actuando.

Esperemos que os guste esta modalidad y, si es así, prometemos traer aún más.

Comenzamos!

Lazarus Group

Este grupo se encuentra bajo financiación del gobierno de Corea del Norte.

Empezó a actuar sobre 2009  más o menos, según la fuente. El grupo se divide luego a su vez en varios subgrupos. Estos serían BlueNorOff conocido como APT38 (un actor muy relevante y destacado) y AndAriel.

Se les relaciona con ataques a compañías como: Sony Pictures, Samsung, SWIFT e instituciones financieras, entre otros objetivos.

La última mención en relación a este grupo, a fecha de escribir este artículo, data del 23 de noviembre de 2019, con una afectación al sistema operativo MacOS. Os dejamos el enlace con más información:

https://blog.trendmicro.com/trendlabs-security-intelligence/mac-backdoor-linked-to-lazarus-targets-korean-users/

Operaciones.

Durante la realización de este artículo hemos encontrado una serie de informes sobre estas operaciones, os los dejamos junto a la lista de operaciones. Sinceramente, son unos informes imprescindibles.

• Operación Troy 2009
  • https://www.mcafee.com/enterprise/en-us/assets/white-papers/wp-dissecting-operation-troy.pdf
• Ten Days of Rain 2013
  • https://www.mcafee.com/wp-content/uploads/2011/07/McAfee-Labs-10-Days-of-Rain-July-2011.pdf
• Sony 2014
• Operación Blockbuster 2016
  • https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Destructive-Malware-Report.pdf
• Ataques con WannaCry 2017
  • https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
• Ataques contra entidades financieras 2017
  • https://www.zdnet.com/article/north-korean-hackers-infiltrate-chiles-atm-network-after-skype-job-interview/
  • https://www.riskiq.com/blog/labs/lazarus-group-cryptocurrency/
• GhostSecret 2018
  • https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/
• También se les ha visto actuando sobre 2019

Malware asociado

A este grupo se le atribuyen, entre otros, los siguientes malwares, algunos de ellos vistos en el apartado anterior:

• Tdrop: con afectación a Windows 7. En el marco de la Operación Troy.
• Tdrop2
• Destrover: con varios objetivos, entre ellos Sony. En el marco de la operación Blockbuster.
• FALLCHILL: Operación GhostSecret, con objetivos como el FBI o defensa.
• Volgmer: Operación GhostSecret. Contra el gobierno de EEUU.
• Wcry (WanaCrypt0r, WanaCrypt0r 2.0, WanaCryptor, WannaCry, WannaCry 2.0, WannaCryptor, Wannacrypt).
• HANGMAN
• SpaSpe

Virus Total

Vamos a dejaros algunas referencias a Lazarus que hemos podido encontrar en VT de los últimos 30 días que se atribuyen a este actor:

• https://www.virustotal.com/en/file/18f0ad8c58558d6eb8129f32cbc2905d0b63822185506b7c3bca49d423d837c7/analysis/
• https://www.virustotal.com/gui/file/a7ff0dfc2456baa80e6291619e0ca480cc8f071f42845eb8316483e077947339/detection
• https://www.virustotal.com/gui/file/ddea408e178f0412ae78ff5d5adf2439251f68cad4fd853ee466a3c74649642d/detection
• https://www.virustotal.com/gui/file/9a78bbc6d05a7e67e1abfa4ecbc275fb20fbe0b06f73f9a524ba656101e7841e/detection

Podríamos seguir añadiendo una lista enorme, es por ello por lo que hemos puesto solo los más recientes que hemos encontrado.

IOCs

Ahora vamos a poner una lista de algunos de los indicadores de compromiso en este caso del WannaCry:

Más hashes de malware

02f75c2b47b1733f1889d6bbc026157c
06cd99f0f9f152655469156059a8ea25
07e13b985c79ef10802e75aadfac6408
09a77c0cb8137df82efc0de5c7fee46e
0abdaebbdbd5e6507e6db15f628d6fd7
16a278d0ec24458c8e47672529835117
17bc6f5b672b7e128cd5df51cdf10d37
198760a270a19091582a5bd841fbaec0
1bfbc0c9e0d9ceb5c3f4f6ced6bcfeae
1d0e79feb6d7ed23eb1bf7f257ce4fee
268dca9ad0dcb4d95f95a80ec621924f
2963cd266e54bd136a966bf491507bbf
2de01aac95f8703163da7633993fb447
2ef2703cfc9f6858ad9527588198b1b6
3b1dfeb298d0fb27c31944907d900c1d
459593079763f4ae74986070f47452cf
474f08fb4a0b8c9e1b88349098de10b1
579e45a09dc2370c71515bd0870b2078
5d0ffbc8389f27b0649696f0ef5b3cfe
5ebfe9a9ab9c2c4b200508ae5d91f067
5fbfeec97e967325af49fa4f65bb2265
6eec1de7708020a25ee38a0822a59e88
7413f08e12f7a4b48342a4b530c8b785
8387ceba0c020a650e1add75d24967f2
85d316590edfb4212049c4490db08c4b
949e1e35e09b25fca3927d3878d72bf4
954f50301207c52e7616cc490b8b4d3c
9d1db33d89ce9d44354dcba9ebba4c2d
ad5485fac7fed74d112799600edb2fbf
b135a56b0486eb4c85e304e636996ba1
b9be8d53542f5b4abad4687a891b1c03
bbd703f0d6b1cad4ff8f3d2ee3cc073c
c1364bbf63b3617b25b58209e4529d8c
c635e0aa816ba5fe6500ca9ecf34bd06
cb65d885f4799dbdf80af2214ecdc5fa
ce6e55abfe1e7767531eaf1036a5db3d
e29fe3c181ac9ddbb242688b151f3310
e62a52073fd7bfd251efca9906580839
f5e0f57684e9da7ef96dd459b554fded
fde55de117cc611826db0983bc054624

bfb39f486372a509f307cde3361795a2f9f759cbeb4cac07562dcbaebc070364

No verificados pero que podrían ser de Lazarus:

3cc9d9a12f3b884582e5c4daf7d83c4a510172a836de90b87439388e3cde3682
93a01fbbdd63943c151679d037d32b1d82a55d66c6cb93c40ff63f2b770e5ca9
a0664ac662802905329ec6ab3b3ae843f191e6555b707f305f8f5a0599ca3f68
c5c1ca4382f397481174914b1931e851a9c61f029e6b3eb8a65c9e92ddf7aa4c

Algunos hosts de malware

sap.misapor[.]ch
tradeboard.mefound[.]com:443
movis-es.ignorelist[.]com:443
update.toythieves[.]com:8080
update.toythieves[.]com:443
exbonus.mrbasic[.]com:443

Podéis encontrar muchos IOCs más en los informes anteriores o en los del apartado final de recursos extras.

Recursos extras

Queremos compartir algo más de información relativa a Lazarus. Durante la documentación para este artículo hemos encontrado una web dedicada entera a la OpBlockbuster, y cómo tiene varios informes excelentes. Por ello queremos compartiros el recurso:

https://operationblockbuster.com/resources/

Y antes de irnos vamos a dejar aún más recursos para los que quieran profundizar más en el tema:

• https://github.com/649/APT38-DYEPACK
• https://github.com/fboldewin/FastCashMalwareDissected/
• https://github.com/jeFF0Falltrades/IoCs/blob/master/APT/dtrack_lazarus_group.md
• https://github.com/threatland/TL-TROJAN/tree/master/TL.RAT/RAT.Win.DarkComet
• https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180231/LazarusUnderTheHood_PDF_final_for_securelist.pdf
• https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07180244/Lazarus_Under_The_Hood_PDF_final.pdf
• https://marcoramilli.com/2019/11/04/is-lazarus-apt38-targeting-critical-infrastructures/

Esperemos que os haya gustado esta nueva serie de artículos y si vemos mucho apoyo seguiremos trayendo los mejores actores mensualmente, con toda la información que haya sobre ellos.

Nos vemos en el próximo artículo!!

h3st4k3r

CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…