Grupo Lazarus
El grupo Lazarus es una amenaza persistente avanzada (APT) patrocinada por el Estado norcoreano.
El origen del Grupo Lázaro
El grupo Lazarus lleva activo desde 2009 aproximadamente, con su primera gran operación conocida como "Operación Troya". Es responsable de varios ciberataques de gran repercusión, como el de Sony Pictures en 2014, el atraco al Bangladesh Bank en 2016 y el ataque de ransomware WannaCry en 2017.
A diferencia de muchos grupos patrocinados por el Estado, Lazarus tiene una gran motivación económica, ya que lleva a cabo atracos a bancos y robos de criptomonedas para sostener la economía de Corea del Norte.
Según MITRE, las definiciones de los grupos de amenaza norcoreanos suelen solaparse de forma significativa. Algunos investigadores de seguridad clasifican toda la actividad cibernética patrocinada por el Estado norcoreano bajo el nombre de Grupo Lazarus, en lugar de distinguir entre grupos o subgrupos específicos como Andariel, APT37, APT38 y Kimsuky.
El grupo utilizó el nombre de Guardians of Peace para el pirateo de Sony, pero también es conocido por otros nombres como Hidden Cobra (por el Departamento de Seguridad Nacional de Estados Unidos y el FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (por Microsoft) y Labyrinth Chollima (por Crowdstrike).
Fuente de la cronología: Trend Micro
Objetivos
Objetivos de Lazarus
Países objetivo de Lazarus
Las operaciones del grupo se han rastreado en todo el mundo, con actividad confirmada en Estados Unidos, Corea del Sur, India, Bangladesh y la región Asia-Pacífico en general. También se han dirigido a entidades de Europa y Oriente Próximo. Lazarus es conocido por dirigirse a países implicados en sanciones económicas o disputas diplomáticas con Corea del Norte.
Industrias objetivo del Grupo Lazarus
Lazarus Group ha mostrado un perfil de objetivos diverso, que incluye organismos gubernamentales, instituciones financieras, contratistas de defensa, bolsas de criptomonedas y empresas de medios de comunicación. Sus motivaciones varían desde el espionaje político al robo financiero, centrándose en sectores que pueden generar fondos para el régimen norcoreano o facilitar información sensible.
Industrias objetivo del Grupo Lazarus
Lazarus Group ha mostrado un perfil de objetivos diverso, que incluye organismos gubernamentales, instituciones financieras, contratistas de defensa, bolsas de criptomonedas y empresas de medios de comunicación. Sus motivaciones varían desde el espionaje político al robo financiero, centrándose en sectores que pueden generar fondos para el régimen norcoreano o facilitar información sensible.
Víctimas de Lázaro
Entre las víctimas más destacadas se encuentran Sony Pictures (2014), Bangladesh Bank (2016) y varias bolsas de criptomonedas. Su actividad en el sector financiero, en particular mediante el uso de malware y atracos destructivos, ha causado daños millonarios. El grupo también ha llevado a cabo campañas de ciberespionaje contra instituciones surcoreanas.
Método de ataque
Método de ataque del Grupo Lazarus
Lazarus utiliza con frecuencia campañas de spear-phishing para obtener el acceso inicial, a menudo empleando archivos adjuntos maliciosos o enlaces que entregan personalizado malware.
Tras obtener acceso, despliegan herramientas como rootkits o malware personalizados para elevar privilegios y adentrarse más en las redes.
El grupo es experto en eludir las medidas de seguridad mediante técnicas como la desactivación del software de seguridad, el aprovechamiento de certificados robados o la explotación de vulnerabilidades de día cero.
Lazarus utiliza keyloggers, herramientas de volcado de credenciales y exploits para recopilar credenciales de usuario, a menudo dirigidas a cuentas con privilegios elevados.
Una vez dentro de un sistema, realizan un reconocimiento de la red para identificar sistemas críticos y repositorios de datos utilizando comandos integrados y herramientas como PowerShell.
Lazarus se desplaza lateralmente por las redes utilizando credenciales válidas, protocolos de escritorio remoto (RDP) o aprovechando las relaciones de confianza entre sistemas.
Los datos confidenciales se recopilan a menudo a través de herramientas como los servicios de intercambio de archivos o malware con capacidades de exfiltración personalizadas, dirigidas a datos financieros, carteras de criptomonedas y documentos confidenciales.
El grupo utiliza puertas traseras personalizadas, como Manuscrypt y Destover, para ejecutar comandos de forma remota y mantener la persistencia.
Los datos robados se filtran utilizando servidores web comprometidos, servidores FTP o canales de comunicación cifrados para garantizar que la información llegue a su infraestructura de mando y control.
En las operaciones financieras, Lazarus a menudo interrumpe los sistemas después del robo, utilizando wiper malware para cubrir sus huellas. Han participado en campañas de ransomware y destrucción de datos, lo que amplifica aún más el impacto en sus víctimas.
Acceso inicial
Lazarus utiliza con frecuencia campañas de spear-phishing para obtener el acceso inicial, a menudo empleando archivos adjuntos maliciosos o enlaces que entregan personalizado malware.
Escalada de privilegios
Tras obtener acceso, despliegan herramientas como rootkits o malware personalizados para elevar privilegios y adentrarse más en las redes.
Defensa Evasión
El grupo es experto en eludir las medidas de seguridad mediante técnicas como la desactivación del software de seguridad, el aprovechamiento de certificados robados o la explotación de vulnerabilidades de día cero.
Acceso con credenciales
Lazarus utiliza keyloggers, herramientas de volcado de credenciales y exploits para recopilar credenciales de usuario, a menudo dirigidas a cuentas con privilegios elevados.
Descubrimiento
Una vez dentro de un sistema, realizan un reconocimiento de la red para identificar sistemas críticos y repositorios de datos utilizando comandos integrados y herramientas como PowerShell.
Movimiento lateral
Lazarus se desplaza lateralmente por las redes utilizando credenciales válidas, protocolos de escritorio remoto (RDP) o aprovechando las relaciones de confianza entre sistemas.
Colección
Los datos confidenciales se recopilan a menudo a través de herramientas como los servicios de intercambio de archivos o malware con capacidades de exfiltración personalizadas, dirigidas a datos financieros, carteras de criptomonedas y documentos confidenciales.
Ejecución
El grupo utiliza puertas traseras personalizadas, como Manuscrypt y Destover, para ejecutar comandos de forma remota y mantener la persistencia.
Exfiltración
Los datos robados se filtran utilizando servidores web comprometidos, servidores FTP o canales de comunicación cifrados para garantizar que la información llegue a su infraestructura de mando y control.
Impacto
En las operaciones financieras, Lazarus a menudo interrumpe los sistemas después del robo, utilizando wiper malware para cubrir sus huellas. Han participado en campañas de ransomware y destrucción de datos, lo que amplifica aún más el impacto en sus víctimas.
MITRE ATT&CK Cartografía
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Detección de plataformas
Cómo detectar Lazarus con Vectra AI
Preguntas frecuentes
¿Por qué es conocido el Grupo Lazarus?
Lazarus Group es conocido por el ciberespionaje y el robo financiero a gran escala, incluidos el ataque a Sony Pictures en 2014 y el atraco al Bangladesh Bank en 2016.
¿Qué motiva al Grupo Lazarus?
Sus actividades obedecen a intereses estatales norcoreanos, como las represalias políticas, el espionaje y la generación de recursos financieros mediante actividades ilícitas.
¿Cómo obtiene Lazarus el acceso inicial a los sistemas de destino?
Suelen utilizar campañas de spear-phishing con archivos adjuntos o enlaces maliciosos para enviar malware.
¿A qué sectores suele dirigirse Lazarus?
Lazarus se dirige a instituciones financieras, bolsas de criptomonedas, empresas de medios de comunicación y organismos gubernamentales.
¿Qué herramientas de malware están asociadas al Grupo Lazarus?
Están asociados a herramientas como Manuscrypt, Destover y varias puertas traseras y limpiadores personalizados.
¿Qué hace que el Grupo Lazarus sea difícil de detectar?
Lazarus utiliza técnicas avanzadas de evasión de defensas, como desactivar el software de seguridad, ofuscar malware y utilizar canales de comunicación cifrados.
¿Qué papel desempeña Lazarus en los delitos financieros?
El grupo se dedica a robar dinero de bancos y plataformas de criptomonedas, así como a realizar ataques de ransomware y destructivos para extorsionar a las víctimas.
¿Cómo pueden las organizaciones detectar las actividades del Grupo Lazarus?
Las organizaciones deben vigilar las TTP conocidas, como los protocolos anómalos de la capa de aplicación, el uso sospechoso de cuentas válidas y la actividad inusual de acceso a credenciales.
¿Cuáles son algunas medidas defensivas para contrarrestar al Grupo Lazarus?
La implantación de la autenticación multifactor (MFA), una fuerte segmentación de la red, la aplicación oportuna de parches a las vulnerabilidades y las herramientas avanzadas de detección de amenazas pueden mitigar sus ataques.
¿Ha participado el Grupo Lazarus en ataques de ransomware?
Sí, han desplegado ransomware en algunas de sus campañas para maximizar los beneficios económicos y perturbar las operaciones de las víctimas.