El actor de amenazas norcoreano conocido como Kimsuky Se ha observado que se dirige a institutos de investigación en Corea del Sur como parte de una campaña de phishing con el objetivo final de distribuir puertas traseras en sistemas comprometidos.
«En última instancia, el actor de la amenaza utiliza una puerta trasera para robar información y ejecutar comandos», afirma el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) dicho en un análisis publicado la semana pasada.
Las cadenas de ataque comienzan con un señuelo de declaración de importación que en realidad es un archivo JSE malicioso que contiene un script de PowerShell ofuscado, una carga útil codificada en Base64 y un documento PDF señuelo.
La siguiente etapa implica abrir el archivo PDF como táctica de distracción, mientras que el script de PowerShell se ejecuta en segundo plano para iniciar la puerta trasera.
El malware, por su parte, está configurado para recopilar información de red y otros datos relevantes (es decir, nombre de host, nombre de usuario y versión del sistema operativo) y transmitir los detalles codificados a un servidor remoto.
También es capaz de ejecutar comandos, ejecutar cargas útiles adicionales y finalizarse a sí mismo, convirtiéndolo en una puerta trasera para acceso remoto al host infectado.
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
Kimsuky, activo desde al menos 2012, comenzó apuntando a entidades gubernamentales, grupos de expertos e individuos identificados como expertos en diversos campos del gobierno de Corea del Sur, antes de expandir su huella victimológica para abarcar Europa, Rusia y Estados Unidos.
A principios de este mes, el Departamento del Tesoro de Estados Unidos sancionó a Kimsuky por recopilar inteligencia para apoyar los objetivos estratégicos de Corea del Norte, incluidos eventos geopolíticos, política exterior y esfuerzos diplomáticos.
«Kimsuky ha centrado sus actividades de recopilación de inteligencia en política exterior y cuestiones de seguridad nacional relacionadas con la península de Corea, la política nuclear y las sanciones», dijo la firma de ciberseguridad ThreatMon. anotado en un informe reciente.
También se ha observado que el grupo patrocinado por el estado aprovecha URL trampa que, al hacer clic, descargan un archivo ZIP falso disfrazado de actualización del navegador Chrome para implementar un VBScript malicioso desde Google Drive que emplea el almacenamiento en la nube como conducto para los datos. exfiltración y comando y control (C2).
El grupo Lazarus practica phishing en Telegram
El desarrollo se produce cuando la empresa de seguridad blockchain SlowMist implicó al notorio grupo respaldado por Corea del Norte llamado Lazarus Group en una campaña de phishing generalizada en Telegram dirigida al sector de las criptomonedas.
«Más recientemente, estos piratas informáticos han intensificado sus tácticas haciéndose pasar por instituciones de inversión acreditadas para ejecutar estafas de phishing contra varios equipos de proyectos de criptomonedas», dijo la firma con sede en Singapur. dicho.
Después de establecer una buena relación, los objetivos son engañados para que descarguen un script malicioso con el pretexto de compartir un enlace de reunión en línea que facilita el robo de criptomonedas.
También sigue un informe de la Agencia de Policía Metropolitana de Seúl (SMPA) que acusado el subgrupo de Lazarus, cuyo nombre en código es Andariel, se dedica a robar información técnica sobre sistemas de armas antiaéreas de empresas de defensa nacionales y a blanquear los ingresos del ransomware a Corea del Norte.
Se estima que en los ataques se robaron más de 250 archivos, por un valor de 1,2 terabytes. Para ocultar las huellas, se dice que el adversario utilizó como punto de entrada servidores de una empresa local que «alquila servidores a suscriptores con identidades poco claras».
Además, el grupo extorsionó 470 millones de wones (356.000 dólares) en bitcoins de tres empresas surcoreanas en ataques de ransomware y los lavó a través de intercambios de activos virtuales como Bithumb y Binance. Vale la pena señalar que Andariel ha sido vinculado con la implementación del ransomware Maui en el pasado.