Durante los meses de enero y febrero de 2015, diferentes empresas pertenecientes al sector energético (en particular, empresas del sector Oil&Gas ubicadas en Middle East) sufrieron ataques perpetrados por un troyano descubierto y denominado por Symantec como Laziok, que permite al atacante acceder a información confidencial guardada en las máquinas que han sido comprometidas.

El vector de ataque utilizado por Laziok es de nuevo el Spear Fishing, en particular, a través del envío de mails utilizando un servidor de SPAM.

El mail que recibe la víctima, contiene un fichero Excel, que al ser abierto, hace que el troyano Lazaiock infecte la máquina. El malware se oculta en la máquina cambiando de nombre cada cierto tiempo y puede encontrarse en alguno de los siguientes directorios:

  •  %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\search.exe
  •  %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\ati.exe    
  •  %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\lsass.exe
  • %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\smss.exe   
  • %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\admin.exe
  • %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\key.exe    
  • %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\taskmgr.exe
  • %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\chrome.exe

La vulnerabilidad que explota Laziok es la (CVE-2012-0158)  Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability que afecta principalmente a los servidores SQL de Microsoft. Esta vulnerabilidad ya había sido utilizada por otro tipo de APT, la Red October.

El proceso que sigue el troyano tras residir en la máquina es el siguiente:

1. Remite información al atacante sobre la máquina infectada: nombre de la máquina, software instalado, tamaño RAM, detalles de CPU y GPU y tipo de antimalware instalado.

2. El atacante utiliza esta información para realizar una segunda infección distribuyendo desde un C&C (ubicados en EEUU, Reino Unido y Bulgaria) payloads denominados Backdoor.Cyberat y Trojan.Zbot.

Actualmente, algunos fabricantes como Symantec o Norton, ya han lanzado soluciones específicas para evitar el ataque de Laziok. En cualquier caso, a continuación enumeramos algunas recomendaciones que ayudan a evitar el ataque de este tipo de amenazas:

  • Evitar abrir correos, archivos y/o acceder a enlaces de dudosa procedencia.
  • Utilizar soluciones antimalware que incorporen protección contra vulnerabilidades.
  • Segmentar y fortificar redes.
  • Mantener una correcta política de actualización de software.
Shares
Share This