Se ha observado que actores de estados-nación afiliados a Corea del Norte utilizan ataques de phishing para ofrecer una variedad de puertas traseras y herramientas como AppleSeed, Meterpreter y TinyNuke para tomar el control de las máquinas comprometidas.
La empresa de ciberseguridad con sede en Corea del Sur AhnLab atribuyó la actividad a un grupo de amenazas persistentes avanzadas conocido como Kimsuky.
«Un punto notable sobre los ataques que utilizan AppleSeed es que se han utilizado métodos de ataque similares durante muchos años sin cambios significativos en el malware que se utilizan juntos», dijo el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) dicho en un análisis publicado el jueves.
Kimsuky, activo desde hace más de una década, es conocido por apuntar a una amplia gama de entidades en Corea del Sur, antes de expandir su enfoque para incluir otras geografías en 2017. Fue sancionado por el gobierno de Estados Unidos a fines del mes pasado por acumular inteligencia para apoyar a Corea del Norte. Los objetivos estratégicos de Corea.
De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total
Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.
Las campañas de espionaje del actor de amenazas se realizan a través de ataques de phishing que contienen documentos señuelo maliciosos que, al abrirse, culminan en la implementación de varias familias de malware.
Una de las puertas traseras destacadas basadas en Windows utilizadas por Kimsuky es AppleSeed (también conocido como JamBog), un malware DLL que se puso en uso ya en mayo de 2019 y se actualizó con una versión de Android, así como con una nueva variante escrita en Golang llamada Semilla alfa.
semilla de manzana está diseñado para recibir instrucciones de un servidor controlado por actores, soltar cargas útiles adicionales y filtrar datos confidenciales como archivos, pulsaciones de teclas y capturas de pantalla. AlphaSeed, al igual que AppleSeed, incorpora características similares pero también tiene algunas diferencias cruciales.
«AlphaSeed fue desarrollado en Golang y utiliza cromado para las comunicaciones con el [command-and-control] servidor», dijo ASEC, a diferencia de AppleSeed, que se basa en protocolos HTTP o SMTP. Chromedp es una biblioteca popular de Golang para interactuar con el navegador Google Chrome en modo sin cabeza a través del Protocolo de herramientas de desarrollo.
Hay evidencia que sugiere que Kimsuky ha utilizado AlphaSeed en ataques desde octubre de 2022, con algunas intrusiones entregando tanto AppleSeed como AlphaSeed en el mismo sistema de destino mediante un cuentagotas de JavaScript.
El adversario también implementa el malware Meterpreter y VNC, como TightVNC y TinyNuke (también conocido como Nuclear Bot), que pueden aprovecharse para tomar el control del sistema afectado.
El desarrollo se produce cuando Nisos dijo que descubrió una serie de personas en línea en LinkedIn y GitHub probablemente utilizadas por los trabajadores de tecnología de la información (TI) de Corea del Norte para obtener de manera fraudulenta empleo remoto de empresas en los EE. UU. y actuar como una fuente de generación de ingresos para el régimen y ayudar a financiar sus prioridades económicas y de seguridad.
«Las personas a menudo afirmaban ser competentes en el desarrollo de varios tipos diferentes de aplicaciones y tener experiencia trabajando con transacciones criptográficas y blockchain», la firma de inteligencia de amenazas. dicho en un informe publicado a principios de este mes.
«Además, todas las personas buscaban puestos únicamente remotos en el sector tecnológico y estaban especialmente centrados en obtener un nuevo empleo. Muchas de las cuentas sólo están activas durante un corto período de tiempo antes de que se deshabiliten».
En los últimos años, los actores norcoreanos han lanzado una serie de ataques en múltiples frentes, combinando tácticas novedosas y debilidades de la cadena de suministro para atacar a empresas de blockchain y criptomonedas para facilitar el robo de propiedad intelectual y activos virtuales.
La naturaleza prolífica y agresiva de los ataques señala las diferentes formas en que el país ha recurrido para evadir las sanciones internacionales y beneficiarse ilegalmente de los planes.
«La gente tiende a pensar… ¿cómo es posible que el ‘Reino Ermitaño’, entre comillas, sea un actor serio desde una perspectiva cibernética?», dijo Adam Meyers de CrowdStrike. citado diciendo a Político. «Pero la realidad no podría estar más lejos de la verdad».