Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos de Kimsuky de Corea del Norte atacan de nuevo con malware de reconocimiento avanzado
  • Tecnología

Los piratas informáticos de Kimsuky de Corea del Norte atacan de nuevo con malware de reconocimiento avanzado

teknomers 23 de Mayıs de 2023 (Last updated: 23 de Mayıs de 2023) 4 minutes read
Los piratas informáticos de Kimsuky de Corea del Norte atacan


23 de mayo de 2023Ravie LakshmanánAmenaza Cibernética / Malware

El grupo de amenazas persistentes avanzadas (APT) de Corea del Norte conocido como kimsuky ha sido observado usando una pieza de malware personalizado llamado RandomQuery como parte de una operación de reconocimiento y exfiltración de información.

“Últimamente, Kimsuky ha estado distribuyendo constantemente malware personalizado como parte de campañas de reconocimiento para permitir ataques posteriores”, los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. dicho en un informe publicado hoy.

La campaña dirigida en curso, según la firma de seguridad cibernética, está dirigida principalmente a los servicios de información, así como a las organizaciones que apoyan a los activistas de derechos humanos y a los desertores de Corea del Norte.

Kimsuky, activo desde 2012, ha exhibido patrones de focalización que se alinean con los mandatos y prioridades operativos de Corea del Norte.

Las misiones de recopilación de inteligencia han implicado el uso de un conjunto diverso de malware, incluido otro programa de reconocimiento llamado ReconShark, como lo detalló SentinelOne a principios de este mes.

El último grupo de actividad asociado con el grupo comenzó el 5 de mayo de 2023 y aprovecha una variante de RandomQuery que está específicamente diseñada para enumerar archivos y desviar datos confidenciales.

RandomQuery, junto con FlowerPower y AppleSeed, se encuentran entre los mayoría frecuentemente distribuido herramientas en el arsenal de Kimsuky, con el primero funcionando como un ladrón de información y un conducto para distribuir troyanos de acceso remoto como TutRAT y xRAT.

Los ataques comienzan con correos electrónicos de phishing que pretenden ser de Daily NK, una destacada publicación en línea con sede en Seúl que cubre los asuntos de Corea del Norte, para atraer a los objetivos potenciales a abrir un archivo de Ayuda HTML Compilado (CHM) de Microsoft.

Vale la pena señalar en esta etapa que los archivos CHM también han sido adoptados como un señuelo por otro actor del estado-nación de Corea del Norte conocido como ScarCruft.

Lanzar el archivo CHM conduce a la ejecución de un Visual Basic Script que emite una solicitud HTTP GET a un servidor remoto para recuperar la carga útil de la segunda etapa, una variante de VBScript de RandomQuery.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

Luego, el malware procede a recopilar metadatos del sistema, procesos en ejecución, aplicaciones instaladas y archivos de diferentes carpetas, todo lo cual se transmite de regreso al servidor de comando y control (C2).

“Esta campaña también demuestra el enfoque consistente del grupo de entregar malware a través de archivos CHM”, dijeron los investigadores.

“Estos incidentes ponen de relieve el panorama en constante cambio de los grupos de amenaza de Corea del Norte, cuyo cometido no solo abarca el espionaje político, sino también el sabotaje y las amenazas financieras”.

Los hallazgos llegan días después del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) descubierto un ataque de pozo de agua montado por Kimsuky que implica la creación de un sistema de correo web similar al utilizado por los institutos de investigación de políticas nacionales para recolectar las credenciales ingresadas por las víctimas.

En un desarrollo relacionado, Kimsuky también ha sido vinculado a ataques que arman los servidores vulnerables de Windows Internet Information Services (IIS) para eliminar el marco de trabajo posterior a la explotación de Metasploit Meterpreter, que luego se usa para implementar un malware proxy basado en Go.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Mattie camina por un error con las axilas espumosas y Jan sufre una metamorfosis muy costosa
Next: "Lobo mejor proteger menos y por lo tanto menos molestias"

Related Stories

Aire acondicionado portátil o ventilador: el cálculo de la compra
  • Tecnología

Aire acondicionado portátil o ventilador: el cálculo de la compra

teknomers 5 de Temmuz de 2026
Copa Mundial de la FIFA 2026: una hacker accede a
  • Tecnología

Copa Mundial de la FIFA 2026: una hacker accede a los flujos de transmisión

teknomers 5 de Temmuz de 2026
Pero, a propósito... ¿Cómo funciona realmente un climatizador?
  • Tecnología

Pero, a propósito… ¿Cómo funciona realmente un climatizador?

teknomers 5 de Temmuz de 2026

You May Have Missed

«La tierra de la libertad»: los Estados Unidos celebran sus
  • General

«La tierra de la libertad»: los Estados Unidos celebran sus 250 años, Trump los pinta como un «chef-d’œuvre»

teknomers 5 de Temmuz de 2026
  • General

Llamado a la muerte de Trump por un intérprete en el funeral de Ali Khamenei en Irán genera ovaciones

teknomers 5 de Temmuz de 2026
Paraguay-Francia (0-1): Ilgiz Tantachev había arbitrado a los Bleus en
  • Deporte

Paraguay-Francia (0-1): Ilgiz Tantachev había arbitrado a los Bleus en los J0 de París 2024 y… eso ya había salido (muy) mal.

teknomers 5 de Temmuz de 2026
  • Cultura

Bad Bunny en concierto en Paris La Défense Arena: «Háganse abrazos»

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.