El Gobierno de Estados Unidos alerta sobre el incremento de actividad del grupo norcoreano, BeagleBoyz, apuntando a bancos y cajeros automáticos.

La Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA), el Departamento del Tesoro, el FBI y US Cyber Command, han emitido una alerta conjunta indicando haber identificado un esquema de cash-out o retiro de dinero de cajeros automáticos y realización de transferencias fraudulentas, que tienen como objetivo bancos e instituciones financieras de todo el mundo.

Dicho esquema, identificado como FastCash, está aparentemente vinculado a “BeagleBoyz”, un subgrupo del ya conocido Lazarus Group (también denominados Hidden Cobra o APT38). Ambos grupos se encuentran vinculados al gobierno de Corea del Norte, relacionados con ataques SWIFT, además de ataques contra instituciones financieras.

Según la alerta emitida, Lazarus apunta al sistema financiero a través de “BeagleBoyz”. A pesar de que el grupo se ha identificado recientemente, su actividad se remonta a 2014. Se les atribuye los retiros de efectivo en cajeros automáticos identificados en 2018 como “FASTCash”, así como, robos lucrativos de criptomonedas.

Esta campaña de ataques FASTCash, se inició en 2016, y tras haber permanecido pausada durante un tiempo, se alerta del aumento de su actividad y nivel de sofisticación.

Según indica el comunicado, se atribuye al grupo “operaciones cibernéticas bien planificadas, disciplinadas y metódicas”. Del mismo modo, el uso de  un “enfoque calculado, que les permite agudizar sus tácticas, técnicas y procedimientos mientras evaden la detección”.

Esta operación, trata de una maniobra fraudulenta internacional cuyo objetivo son las instituciones financieras de países de Latinoamérica, África, Asia o Europa. Entre los países objetivo se encuentran: España, México, Brasil, Chile, Sudáfrica, Turquia, India o Japón.

Visualización objetivos BeagleBoyz

Posibles países objetivo de BeagleBoyz desde 2015. Fuente: CISA

BeagleBoyz es conocido por utilizar la ingeniería social como vector de entrada, para obtener así el acceso inicial a instituciones financieras. El grupo utiliza campañas de phishing dirigido o spearphishing para atraer a las víctimas e incitar a que se descarguen malware en sus dispositivos.

Desde finales de 2018 hasta 2019 y principios de 2020, se le atribuye ataques de phishing adjuntando archivos maliciosos, donde suplantan aplicaciones de empleo.

Una vez dentro de los servidores de la institución objetivo, el malware utilizado en el esquema FASTCash tiene la capacidad de manipular servidores AIX.

Como resultado, se pretende interceptar mensajes de solicitud financiera y responder con mensajes fraudulentos de respuesta afirmativa, pero de apariencia legítima. Con todo lo anterior se consigue permitir grandes retiros de efectivo en cajeros automáticos, según indica la alerta.

IOCs

A continuación, se detallan distintos indicadores de compromiso de archivos maliciosos utilizados en campañas de phishing de BeagleBoyz.

4c26b2d0e5cd3bfe0a3d07c4b85909a4
52ec074d8cb8243976963674dd40ffe7
d1d779314250fab284fd348888c2f955
41fd85ff44107e4604db2f00e911a766
f34b72471a205c4eee5221ab9a349c55
cf733e719e9677ebfbc84a3ab08dd0dc
01d397df2a1cf1d4c8e3615b7064856c
b484b0dff093f358897486b58266d069

Del mismo modo, para mayor información, os dejamos la alerta emitida para su descarga y consulta.

AA20-239A_FASTCash-2.0_North_Korea_BeagleBoyz_Robbing_Banks_S508C

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR