Seg\u00fan Microsoft, los actores de amenazas norcoreanos est\u00e1n explotando activamente una falla de seguridad cr\u00edtica en JetBrains TeamCity para violar de manera oportunista servidores vulnerables.<\/p>\n
Los ataques, que implican la explotaci\u00f3n de CVE-2023-42793 (puntuaci\u00f3n CVSS: 9,8), han sido atribuido<\/a> a Diamond Sleet (tambi\u00e9n conocido como Labyrinth Chollima) y Onyx Sleet (tambi\u00e9n conocido como Andariel o Silent Chollima).<\/p>\n Vale la pena se\u00f1alar que ambos grupos de actividades de amenazas son parte del infame actor-estado-naci\u00f3n de Corea del Norte conocido como Grupo Lazarus.<\/p>\n En una de las dos rutas de ataque empleadas por Diamond Sleet, un compromiso exitoso de los servidores de TeamCity es seguido por la implementaci\u00f3n de un implante conocido llamado ForestTiger desde una infraestructura leg\u00edtima previamente comprometida por el actor de la amenaza.<\/p>\n Una segunda variante de los ataques aprovecha el punto de apoyo inicial para recuperar una DLL maliciosa (DSROLE.dll tambi\u00e9n conocida como RollSling o Version.dll o FeedLoad) que se carga mediante una t\u00e9cnica conocida como secuestro de orden de b\u00fasqueda de DLL para ejecutar una siguiente etapa. carga \u00fatil o un troyano de acceso remoto (RAT).<\/p>\n Microsoft dijo que vio al adversario aprovechar una combinaci\u00f3n de herramientas y t\u00e9cnicas de ambas secuencias de ataque en ciertos casos.<\/p>\n Las intrusiones montadas por Onyx Sleet, por otro lado, utilizan el acceso brindado por la explotaci\u00f3n del error JetBrains TeamCity para crear una nueva cuenta de usuario llamada krtbgt que probablemente pretende hacerse pasar por el Ticket de concesi\u00f3n de boletos de Kerberos.<\/p>\n “Despu\u00e9s de crear la cuenta, el actor de amenazas la agrega al grupo de administradores locales mediante el uso de la red”, dijo Microsoft. “El actor de amenazas tambi\u00e9n ejecuta varios comandos de descubrimiento de sistemas en sistemas comprometidos”.<\/p>\n Posteriormente, los ataques conducen a la implementaci\u00f3n de una herramienta proxy personalizada denominada HazyLoad que ayuda a establecer una conexi\u00f3n persistente entre el host comprometido y la infraestructura controlada por el atacante.<\/p>\n Otra acci\u00f3n notable posterior al compromiso es el uso de la cuenta krtbgt controlada por el atacante para iniciar sesi\u00f3n en el dispositivo comprometido a trav\u00e9s del protocolo de escritorio remoto (RDP) y finalizar el servicio TeamCity en un intento por evitar el acceso de otros actores de amenazas.<\/p>\n A lo largo de los a\u00f1os, el grupo Lazarus se ha establecido como uno de los grupos de amenazas persistentes avanzadas (APT) m\u00e1s perniciosos y sofisticados actualmente activos, orquestando delitos financieros y ataques de espionaje en igual medida a trav\u00e9s de atracos de criptomonedas y ataques a la cadena de suministro.<\/p>\n “Ciertamente creemos que el hackeo de criptomonedas por parte de Corea del Norte en infraestructuras en todo el mundo (incluidos Singapur, Vietnam y Hong Kong) es una importante fuente de ingresos para el r\u00e9gimen que se utiliza para financiar el avance del programa de misiles y el mucho mayor n\u00famero de lanzamientos que hemos visto en el \u00faltimo a\u00f1o”, afirm\u00f3 la asesora adjunta de seguridad nacional de EE.UU., Anne Neuberger, dicho<\/a>.<\/p>\n El desarrollo se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) detall\u00f3 el uso por parte del Grupo Lazarus de familias de malware como Volgmer y Scout que act\u00faan como un conducto para servir puertas traseras para controlar los sistemas infectados.<\/p>\n “El grupo Lazarus es uno de los grupos m\u00e1s peligrosos que est\u00e1n muy activos en todo el mundo y utilizan diversos vectores de ataque, como el phishing y los ataques a la cadena de suministro”, afirm\u00f3 la empresa de ciberseguridad surcoreana. dicho<\/a>implicando al equipo de pirater\u00eda en otra campa\u00f1a con el nombre en c\u00f3digo Operaci\u00f3n Dream Magic.<\/p>\n Esto implica montar ataques de abrevadero<\/a> insertando un enlace fraudulento dentro de un art\u00edculo espec\u00edfico en un sitio web de noticias no especificado que utiliza fallas de seguridad en los productos INISAFE y MagicLine para activar las infecciones, una t\u00e1ctica previamente<\/a> asociado con<\/a> el Grupo L\u00e1zaro.<\/p>\n En una se\u00f1al m\u00e1s de la evoluci\u00f3n de los programas ofensivos de Corea del Norte, ASEC ha atribuido<\/a> otro actor de amenazas conocido como Kimsuky (tambi\u00e9n conocido como APT43) a un nuevo conjunto de ataques de phishing que utilizan el malware BabyShark para instalar una variedad de herramientas de escritorio remoto y software VNC (es decir, TightVNC y TinyNuke<\/a>) para apoderarse de los sistemas de las v\u00edctimas y extraer informaci\u00f3n.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Microsoft-advierte-sobre-ataques-norcoreanos-que-explotan-el-defecto-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n