Lazarus es un grupo de amenaza que se ha atribuido al gobierno de Corea del Norte. El grupo ha estado activo al menos desde 2009 y, según informes, fue responsable del ataque destructivo de noviembre de 2014 contra Sony Pictures Entertainment como parte de una campaña llamada Operación Blockbuster por Novetta. El software malicioso utilizado por Lazarus Group se correlaciona con otras campañas informadas, que incluyen la Operación Flame, la Operación 1, la Operación Troya, DarkSeoul y Diez días de lluvia. A finales de 2017, Lazarus Group usó KillDisk, una herramienta para limpiar discos, en un ataque contra un casino en línea con sede en América Central.
Los investigadores de Trend Micro han descubierto que este grupo de hacking puso su punto de mira recientemente en las instituciones financieras de América Latina.
También conocido como Hidden Cobra, se cree que el grupo es la amenaza más seria contra los bancos y también comenzó a atacar a individuos el año pasado. Recientemente, se dijo que el grupo ha robado millones en cajeros automáticos en Asia y África.
Trend Micro dice que se encontró una puerta trasera de Lazarus en varias máquinas de instituciones financieras en América Latina. La firma de seguridad también informa que el malware se instaló en ciertas máquinas seleccionadas el 19 de septiembre pasado.
La técnica de ataque se asemeja a un ataque de Lazarus 2017 sobre objetivos en Asia. El grupo utilizó FileTokenBroker.dll en ese ataque, y el mismo backdoor modular parece haber sido empleado también en el incidente reciente. En sus ataques de 2018, el grupo Lazarus utilizó múltiples puertas traseras y también empleó una técnica complicada que involucraba tres componentes principales: una DLL como un servicio, una puerta trasera cifrada y un archivo de configuración cifrado.
Instalada como un servicio, la DLL usa nombres diferentes en diferentes máquinas, pero tiene las mismas capacidades en todas ellas.
Una vez instalada en la máquina objetivo, el backdoor puede recopilar archivos e información del sistema, descargar archivos y malware adicional, iniciar, terminar, enumerar procesos, actualizar los datos de configuración, borrar archivos, inyectar código de archivos a otro proceso en ejecución, utilizar proxy, reverse shell y se ejecuta en modo pasivo donde se abre y escucha un puerto para recibir comandos a través de él. El malware requiere una conexión de C&C para realizar sus actividades.