El actor de amenazas vinculado a Corea del Norte conocido como el Grupo Lazarus ha sido atribuido a una campaña de ingeniería social que distribuye tres piezas diferentes de malware multiplataforma llamadas PondRat, ThemeForestrat y RemotePE.
El ataque, observado por Fox-it de NCC Group en 2024, tuvo como objetivo a una organización del sector financiero descentralizado (DeFi) y, en última instancia, puso en peligro el sistema de un empleado.
«A partir de ahí, el actor realizó el descubrimiento desde dentro de la red utilizando diferentes RAT en combinación con otras herramientas, por ejemplo, para recopilar credenciales o conexiones de proxy», dijeron Yun Zheng Hu y Mick Koomen dijo . «Posteriormente, el actor pasó a usar una RAT más sigilosa, lo que probablemente significó una siguiente etapa del ataque».
La cadena de ataque comienza cuando el actor de amenazas se hace pasar por un empleado existente de una empresa comercial en Telegram y utiliza sitios web falsos disfrazados de Calendly y Picktime para programar una reunión con la víctima.
Aunque actualmente no se conoce el vector de acceso inicial exacto, se aprovecha el punto de apoyo para implementar un cargador llamado PerfHLoader, que luego deja Pondrat , un malware conocido considerado como una variante reducida de POOLRAT (también conocido como SIMPLESEA). La empresa de ciberseguridad dijo que hay algunas pruebas que sugieren que un un exploit de día cero en el navegador Chrome se usó en el ataque.
Junto con PondRat también se ofrecen otras herramientas, como un capturador de pantalla, un registrador de teclas, un ladrón de credenciales y cookies de Chrome, Mimikatz, FRPC y programas de proxy como MidProxy y Proxy Mini.
«PondRAT es una RAT sencilla que permite a un operador leer y escribir archivos, iniciar procesos y ejecutar código de shell», afirma Fox-it, añadiendo se remonta a por lo menos 2021 . «El actor usó PondRAT en combinación con ThemeForestrat durante aproximadamente tres meses, para luego limpiar e instalar la RAT más sofisticada llamada RemotePE».
El malware PondRat está diseñado para comunicarse a través de HTTP (S) con un servidor de comando y control (C2) codificado de forma rígida para recibir más instrucciones, y ThemeForestrat se lanza directamente en la memoria mediante PondRAT o un cargador dedicado.
ThemeForestat, como PondRAT, monitorea las nuevas sesiones de escritorio remoto (RDP) y contacta con un servidor C2 a través de HTTP (S) para recuperar hasta veinte comandos para enumerar archivos/directorios, realizar operaciones con archivos, ejecutar comandos, probar la conexión TCP, marcar el archivo Timestomp basado en otro archivo del disco, obtener la lista de procesos, descargar un archivo, inyectar código de shell, generar procesos e hibernar durante un período de tiempo específico.
Fox-it dijo que ThemeForestrat comparte similitudes con un malware con nombre en código RomeoGolf que utilizó el Grupo Lazarus en el destructivo ataque con limpiaparabrisas de noviembre de 2014 contra Sony Pictures Entertainment (SPE). Novetta lo documentó como parte de un esfuerzo colaborativo conocido como Operación Blockbuster .
RemotePE, por otro lado, se recupera de un servidor C2 mediante RemotePELoader, que, a su vez, es cargado por DPAPILoader. Escrito en C++, RemotePE es un RAT más avanzado que probablemente esté reservado para objetivos de alto valor.
«PondRAT es una RAT primitiva que ofrece poca flexibilidad, sin embargo, como carga útil inicial logra su propósito», dijo Fox-it. «Para tareas más complejas, el actor usa ThemeForestrat, que tiene más funciones y pasa desapercibido, ya que solo se carga en la memoria».