Que es
LoJax (2018) fue identificado como el primer
rootkit de UEFI detectado en el entorno real. Este ataque se atribuyó al grupo
APT del país ruso, conocido por su actividad maliciosa a nivel internacional. LoJax se caracterizó por su capacidad para comprometer sistemas operativos mediante la modificación de componentes de arranque, lo que lo convierte en un caso destacado de ciberataque avanzado.
Contexto
El ataque fue atribuido a una
organización APT regional con sede en Rusia. Se asoció con otros actores maliciosos como
Zebrocy, aunque no se confirmó una relación directa. Los datos disponibles indican que el ataque tuvo lugar en 2014 y se vinculó a un documento de análisis de amenazas,
apt28.pdf, disponible en plataformas públicas. La actividad del grupo incluyó la utilización de dominios como
aptnotes.malwareconfig.com y
app.box.com, que probablemente sirvieron para distribuir componentes maliciosos o compartir información sobre amenazas.
Análisis
Los
indicadores de compromiso (IOCs) recopilados incluyen:
| Tipo: |
Valor: |
Contexto: |
| Domain |
aptnotes.malwareconfig.com |
OSINT |
| Domain |
viewer.html |
OSINT |
| Domain |
apt28.pdf |
OSINT |
| Domain |
app.box.com |
OSINT |
Estos dominios fueron identificados como parte de la infraestructura utilizada por el grupo para propagar恶意软件 o compartir información sobre amenazas. La combinación de estos IOCs sugiere una actividad coordinada y sutil, típica de grupos APT con experiencia en ataques complejos.
Conclusion
LoJax representa un caso clave en la historia de ciberataques, destacando la capacidad de grupos APT para comprometer sistemas a través de componentes críticos como el UEFI. Los IOCs asociados, aunque limitados, ofrecen una pista valiosa sobre las prácticas de operación de actores maliciosos. La vigilancia continua de dominios y archivos en plataformas públicas es esencial para detectar actividades similares en el futuro.