Los actores de amenazas asociados con Corea del Norte continúan atacando a la comunidad de ciberseguridad utilizando un error de día cero en software no especificado durante las últimas semanas para infiltrarse en sus máquinas.
Los hallazgos provienen del Grupo de Análisis de Amenazas (TAG) de Google, que encontró que el adversario estaba configurando cuentas falsas en plataformas de redes sociales como X (anteriormente Twitter) y Mastodonte para forjar relaciones con objetivos potenciales y generar confianza.
«En un caso, mantuvieron una conversación de meses, intentando colaborar con un investigador de seguridad en temas de interés mutuo», dijeron los investigadores de seguridad Clement Lecigne y Maddie Stone. dicho. «Después del contacto inicial a través de X, pasaron a una aplicación de mensajería cifrada como Signal, WhatsApp o Wire».
En última instancia, el ejercicio de ingeniería social allana el camino para la aparición de un archivo malicioso que contiene al menos un día cero en un paquete de software popular. La vulnerabilidad se encuentra actualmente en proceso de reparación.
La carga útil, por su parte, realiza una serie de comprobaciones anti-máquina virtual (VM) y transmite la información recopilada, junto con una captura de pantalla, a un servidor controlado por el atacante.
Una búsqueda en X muestra que la cuenta ahora suspendida ha estado activa desde al menos octubre de 2022, con el actor liberando código de explotación de prueba de concepto (PoC) para alta gravedad Defectos de escalada de privilegios. en el kernel de Windows como CVE-2021-34514 y CVE-2022-21881.
Esta no es la primera vez que actores norcoreanos aprovechan señuelos con temas de colaboración para infectar a las víctimas. En julio de 2023, GitHub reveló detalles de una campaña de npm en la que adversarios rastreados como TraderTraitor (también conocido como Jade Sleet) utilizaron personas falsas para apuntar al sector de la ciberseguridad, entre otros.
«Después de establecer contacto con un objetivo, el actor de amenazas lo invita a colaborar en un repositorio de GitHub y lo convence para clonar y ejecutar su contenido», dijo la compañía propiedad de Microsoft en ese momento.
Google TAG dijo que también encontró una herramienta independiente de Windows llamada «GetSymbol» desarrollada por los atacantes y alojada en GitHub como un posible vector de infección secundaria. Se ha bifurcado 23 veces hasta la fecha.
El software manipulado, publicado en GitHub allá por septiembre de 2022 y ahora retirado, ofrece una forma de «descargar símbolos de depuración de servidores de símbolos de Microsoft, Google, Mozilla y Citrix para ingenieros inversos.»
Pero también viene con la capacidad de descargar y ejecutar código arbitrario desde un dominio de comando y control (C2).
La divulgación se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) reveló Ese actor-estado-nación de Corea del Norte conocido como ScarCruft está aprovechando los señuelos de archivos LNK en correos electrónicos de phishing para ofrecer una puerta trasera capaz de recopilar datos confidenciales y ejecutar instrucciones maliciosas.
También sigue nuevos hallazgos de Microsoft que «múltiples actores de amenazas norcoreanos han atacado recientemente al gobierno ruso y a la industria de defensa, probablemente para recopilar información de inteligencia, al mismo tiempo que brindan apoyo material a Rusia en su guerra contra Ucrania».
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
SentinelOne también destacó el objetivo de las empresas de defensa rusas el mes pasado, que reveló que tanto Lazarus Group (también conocido como Diamond Sleet o Labyrinth Chollima) como ScarCruft (también conocido como Ricochet Chollima o Ruby Sleet) violaron NPO Mashinostroyeniya, una empresa rusa de ingeniería de misiles, para facilitar la recogida de información.
También se ha observado que los dos actores se infiltraron en empresas de fabricación de armas con sede en Alemania e Israel desde noviembre de 2022 hasta enero de 2023, sin mencionar que comprometieron un instituto de investigación aeroespacial en Rusia, así como empresas de defensa en Brasil, Chequia, Finlandia, Italia, Noruega y Polonia desde principios de año.
«Esto sugiere que el gobierno de Corea del Norte está asignando múltiples grupos de actores de amenazas a la vez para cumplir con requisitos de recopilación de alta prioridad para mejorar las capacidades militares del país», dijo el gigante tecnológico.
A principios de esta semana, la Oficina Federal de Investigaciones (FBI) de EE. UU. implicado El Grupo Lazarus está detrás del robo de 41 millones en moneda virtual de Stake.com, un casino online y plataforma de apuestas.
Dijo que los fondos robados asociados con las redes Ethereum, Binance Smart Chain (BSC) y Polygon de Stake.com se trasladaron a 33 billeteras diferentes alrededor del 4 de septiembre de 2023.
«Los actores de amenazas cibernéticas de Corea del Norte llevan a cabo operaciones cibernéticas con el objetivo de (1) recopilar inteligencia sobre las actividades de los adversarios percibidos del estado: Corea del Sur, Estados Unidos y Japón, (2) recopilar inteligencia sobre las capacidades militares de otros países para mejorar las suyas propias. y (3) recaudar fondos en criptomonedas para el estado», dijo Microsoft.