- Este virus está explotando activamente una vulnerabilidad clasificada como crítica, encontrada en productos Zoho ManageEngine (CVE-2022-47966), con la finalidad de lanzar ataques “spray and pray”.
Nuevamente Lazarus ha estado utilizando dos nuevos troyanos de acceso remoto (RAT) incrementando así sus campañas de ataque de phishing: QuiteRAT y MagicRAT, el cual el primero es un simple troyano de acceso remoto (RAT) similar al malware MagicRAT, sólo que de menor tamaño.
Tanto MagicRAT como QuiteRAT utilizan el marco Qt para desarrollar aplicaciones multiplataforma y tienen la mayoría de las mismas capacidades. La diferencia de tamaño se puede atribuir a que MagicRAT incorpora todo el marco Qt, mientras que QuiteRAT utiliza un pequeño conjunto de bibliotecas Qt vinculadas estáticamente y código escrito por el usuario.
Cabe mencionar que Qt es un framework multiplataforma orientado a objetos, ampliamente usado para desarrollar programas (software) que utilicen interfaz gráfica de usuario, así como también diferentes tipos de herramientas para la línea de comandos y consolas para servidores que no necesitan una interfaz gráfica de usuario.
Por otra parte, Lazarus (APT38) es un grupo ciberatacante respaldado por el gobierno de Corea del Norte, que además tiene entre sus funciones el ciberespionaje y el sabotaje. Sus operaciones se remontan a muchos años atrás, y también es peligroso porque comparte sus herramientas e infraestructura con otros grupos de amenazas persistentes avanzadas de Corea del Norte.
Lazarus está explotando activamente una vulnerabilidad clasificada como crítica, encontrada en productos Zoho ManageEngine (CVE-2022-47966), con la finalidad de lanzar ataques “spray and pray”.
Spray and pray, phishing tradicional o bulk phishing consiste en la emisión masiva de correos electrónicos a usuarios. Estos correos suplantan a entidades de confianza (ejemplo bancos o dependencias de gobierno) y buscan engañar al usuario para obtener su información.
Son múltiples los productos de ManageEngine que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema, principalmente por el uso de una dependencia de terceros obsoleta: Apache Santuario.
Esta vulnerabilidad permite la ejecución remota de código, lo que esencialmente le da al atacante un control total sobre el sistema. Si un usuario determina que ha sido comprometido, se requiere una investigación adicional para determinar cualquier daño que haya causado el atacante.
Si bien este tipo de campañas de phishing han sido dirigidas en principio al sector energético, posteriormente al sector hospitalario y de atención médica y ahora también están siendo dirigidas al sector gobierno de diferentes países. En este sentido, en México, existen dependencias de gobierno que presentan esta vulnerabilidad y, por lo tanto, están en alto riesgo de no actualizar sus sistemas e instalar los parches de seguridad disponibles. Algunas de ellas son:
- Sistema de Información y Gestión Educativa de Yucatán
- Secretaría de Educación del Estado de México
- Secretaría de Educación y Cultura del Estado de Sonora
- Dirección General del Sistema Estatal de Informática del Estado de México
- Secretaría de la Transparencia y Rendición de Cuentas del Gobierno de Guanajuato
La recomendación en este caso es que las organizaciones instalen, con carácter urgente, los parches de seguridad publicados por Zoho, ya que este fallo de seguridad es de gravedad crítica.
Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
