Un sofisticado subgrupo del actor de amenaza de Lázaro ha surgido en los últimos meses, desplegando tres troyanos de acceso remoto (ratas) distintos en organizaciones financieras y de criptomonedas comprometidas.
El acceso inicial se ha logrado principalmente a través de campañas de ingeniería social a medida en Telegram, donde los atacantes se hacen pasar por empleados legítimos de firmas comerciales conocidas.
Las víctimas son atraídas a sitios web de reuniones falsificadas, como los portales falsos de calendamente y el tiempo de selección, donde un sospechoso exploit de día cero Chrome luego facilita la ejecución de código silencioso en la máquina de la víctima.
Una vez dentro de la red, los atacantes inmediatamente implementan Pondrat como un cargador de la primera etapa, seguido por el más sigiloso que se ejecuta en la memoria.
Después de varios meses de movimiento de reconocimiento y lateral, el subgrupo de Lazarus limpia artefactos anteriores e instala la rata remotepe más avanzada para solidificar el acceso a largo plazo.
Analistas del grupo Fox-It y NCC anotado que la velocidad y la precisión de esta cadena de infección subrayan las capacidades avanzadas del actor y la profunda familiaridad con las herramientas personalizadas y disponibles públicamente.
El impacto de esta campaña se extiende más allá del simple robo de credenciales: el trío de ratas habilita la manipulación de archivos, la inyección de shellcode, el monitoreo de la sesión de RDP y la exfiltración segura del archivo.
Las organizaciones en finanzas descentralizadas (DEFI) han informado interrupciones significativas, con puertas traseras ocultas que permiten la recolección de datos continuos y los pivotes laterales oportunistas para las intrusiones posteriores de la cadena de suministro.
A pesar de la conciencia generalizada de la actividad de Lázaro, el uso de este subgrupo de familias de malware frescas y las sospechas de exploits de día cero han tomado a muchos defensores desprevenidos.
Agregando urgencia, la seguridad operativa refinada del grupo demuestra la capacidad de combinar cargadores personalizados con el secuestro de Windows Phantom DLL y el cifrado DPAPI.
Cadena de ataque (fuente-Fox-It)
Los analistas identificaron que PerfhLoader abusa del servicio Sessionenv a través de la carga de Phantom DLL para ejecutar persistentemente Pondrat o su predecesor PoolRat.
Mensaje de phishing de telegrama que se hace pasar por el empleado de la compañía comercial (Fuente-Fox-IT)
El cargador descifra un archivo de carga útil opaco (por ejemplo, perfh011.dat) utilizando un cifrado Rolling Xor antes de la ejecución en la memoria.
A continuación hemos mencionado las tres ratas:-
Pondrat ThemeForestrat Remotepe
Mecanismo de infección: descifrado de XOR y ejecución en memoria
Un elemento crítico en el mecanismo de infección de Lázaro radica en el descifrado y la carga de cargas útiles cifradas directamente en la memoria del proceso.
Perfhloader, un cargador personalizado ligero, reside en %Systemroot %\ System32 \ y lee un archivo DLL aparentemente inocuo encriptado a través de un algoritmo Rolling XOR.
Perfhloader cargado a través del servicio de sessionenv a través de la carga de DLL Phantom que a su vez carga Pondrat o PoolRat (fuente-Fox-It)
El pseudocódigo de Python a continuación ilustra este cifrado, que continuamente muta su clave con cada byte procesado:
def crypt_buf(data: bytes) -> bytes: xor_key = bytearray(range(0x10)) buf = bytearray(data) for idx in range(len(buf)): a = xor_key((idx + 5) & 0xF) b = xor_key((idx – 3) & 0xF) c = xor_key((idx – 7) & 0xF) xor_byte = a ^ b ^ c buf (idx) ^ = xor_byte xor_key (idx & 0xf) = xor_byte bytes de retorno (buf)
Al emplear esta clave XOR en constante evolución, el cargador frustra la detección basada en la firma y la talla forense de su carga útil.
Después de descifrarse, PerfhLoader aprovecha un cargador DLL manual de código abierto para inyectar Pondrat en la memoria sin escribir archivos ejecutables en el disco, lo que permite operaciones sigilosas de reconocimiento y exfiltración de datos.
Esta estrategia de ejecución en memoria, combinada con un sospechoso día cero de Chrome para el compromiso inicial, subraya la sofisticación del actor de amenaza y justifica una mayor vigilancia entre los profesionales de seguridad cibernética.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
