{"id":665721,"date":"2023-03-10T23:50:37","date_gmt":"2023-03-10T23:50:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-unc2970-amplian-sus-operaciones-con-nuevas-familias-de-malware\/"},"modified":"2023-03-10T23:50:39","modified_gmt":"2023-03-10T23:50:39","slug":"los-piratas-informaticos-norcoreanos-unc2970-amplian-sus-operaciones-con-nuevas-familias-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-unc2970-amplian-sus-operaciones-con-nuevas-familias-de-malware\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos UNC2970 ampl\u00edan sus operaciones con nuevas familias de malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de marzo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un grupo de espionaje norcoreano rastreado como <strong>UNC2970<\/strong> se ha observado que emplea familias de malware previamente indocumentadas como parte de una campa\u00f1a de phishing dirigido a organizaciones de tecnolog\u00eda y medios de comunicaci\u00f3n de EE. UU. y Europa desde junio de 2022.<\/p>\n<p>Mandiant, propiedad de Google, dijo que el grupo de amenazas comparte &#8220;m\u00faltiples superposiciones&#8221; con una operaci\u00f3n de larga duraci\u00f3n denominada &#8220;Trabajo de ensue\u00f1o&#8221; que emplea se\u00f1uelos de reclutamiento laboral en mensajes de correo electr\u00f3nico para desencadenar la secuencia de infecci\u00f3n.<\/p>\n<p>UNC2970 es el nuevo apodo designado por la firma de inteligencia de amenazas a un conjunto de actividades cibern\u00e9ticas de Corea del Norte que se asigna a UNC577 (tambi\u00e9n conocido como <b>Ermita\u00f1o temporal<\/b>), y que tambi\u00e9n comprende otro grupo de amenazas emergentes rastreado como UNC4034.<\/p>\n<p>La actividad UNC4034, como lo document\u00f3 Mandiant en septiembre de 2022, implic\u00f3 el uso de WhatsApp para dise\u00f1ar socialmente a los objetivos para que descargaran una puerta trasera llamada AIRDRY.V2 con el pretexto de compartir una prueba de evaluaci\u00f3n de habilidades.<\/p>\n<p>&#8220;UNC2970 tiene un esfuerzo concertado hacia la ofuscaci\u00f3n y emplea m\u00faltiples m\u00e9todos para hacer esto a lo largo de toda la cadena de entrega y ejecuci\u00f3n&#8221;, dijeron los investigadores de Mandiant en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/lightshow-north-korea-unc2970\" target=\"_blank\">detallado<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/lightshift-and-lightshow\" target=\"_blank\">dos partes<\/a> an\u00e1lisis, agregando el esfuerzo dirigido espec\u00edficamente a los investigadores de seguridad.<\/p>\n<p>Temp.Hermit es una de las principales unidades de pirater\u00eda asociadas con la Oficina General de Reconocimiento (RGB) de Corea del Norte junto con Andariel y APT38 (tambi\u00e9n conocido como BlueNoroff).  Los tres conjuntos de actores se conocen colectivamente como el <a rel=\"nofollow noopener\" href=\"https:\/\/www.secureworks.com\/research\/threat-profiles?filter=item-north-korea\" target=\"_blank\">Grupo L\u00e1zaro<\/a> (tambi\u00e9n conocido como Cobra Oculta o Zinc).<\/p>\n<p>&#8220;TEMP.Hermit es un actor que existe desde al menos 2013&#8221;, Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/mapping-dprk-groups-to-government\" target=\"_blank\">anotado<\/a> en un informe de marzo de 2022.  &#8220;Sus operaciones desde entonces son representativas de los esfuerzos de Pyongyang para recopilar inteligencia estrat\u00e9gica para beneficiar los intereses de Corea del Norte&#8221;.<\/p>\n<p>El \u00faltimo conjunto de ataques UNC2970 se caracteriza por acercarse inicialmente a los usuarios directamente en LinkedIn utilizando cuentas falsas &#8220;bien dise\u00f1adas y seleccionadas profesionalmente&#8221; que se hacen pasar por reclutadores.<\/p>\n<p>Posteriormente, la conversaci\u00f3n se cambia a WhatsApp, despu\u00e9s de lo cual se entrega una carga \u00fatil de phishing al objetivo bajo la apariencia de una descripci\u00f3n del trabajo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/Los-piratas-informaticos-norcoreanos-UNC2970-amplian-sus-operaciones-con-nuevas.png\" alt=\"\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\"\/><\/div>\n<p>En algunos casos, se ha observado que estas cadenas de ataque implementan versiones troyanizadas de TightVNC (llamado LIDSHIFT), que est\u00e1 dise\u00f1ado para cargar una carga \u00fatil de siguiente etapa etiquetada como LIDSHOT que es capaz de descargar y ejecutar shellcode desde un servidor remoto.<\/p>\n<p>Establecer un punto de apoyo en entornos comprometidos se logra mediante una puerta trasera basada en C++ conocida como PLANKWALK que luego allana el camino para la distribuci\u00f3n de herramientas adicionales como:<\/p>\n<ul>\n<li><strong>CAMBIO T\u00c1CTIL<\/strong> &#8211; Un gotero de malware que carga malware de seguimiento que va desde registradores de teclas y utilidades de captura de pantalla hasta puertas traseras con todas las funciones.<\/li>\n<li><strong>TOQUE<\/strong> &#8211; Un software que est\u00e1 configurado para tomar una captura de pantalla cada tres segundos<\/li>\n<li><strong>LLAVE T\u00c1CTIL<\/strong> &#8211; Un registrador de teclas que captura las pulsaciones de teclas y los datos del portapapeles<\/li>\n<li><strong>TIRO DE GANCHO<\/strong> &#8211; Una herramienta de tunelizaci\u00f3n que se conecta a trav\u00e9s de TCP para comunicarse con el servidor de comando y control (C2)<\/li>\n<li><strong>TOCAR MOVER<\/strong> &#8211; Un cargador que est\u00e1 dise\u00f1ado para descifrar y ejecutar una carga \u00fatil en la m\u00e1quina<\/li>\n<li><strong>ATRACCI\u00d3N SECUNDARIA<\/strong> &#8211; puerta trasera AC\/C++ que ejecuta comandos arbitrarios y se comunica a trav\u00e9s de solicitudes HTTP POST con su servidor C2<\/li>\n<\/ul>\n<p>Tambi\u00e9n se dice que UNC2970 aprovech\u00f3 Microsoft Intune, una soluci\u00f3n de administraci\u00f3n de puntos finales, para lanzar un script de PowerShell personalizado que contiene una carga \u00fatil codificada en Base64 denominada CLOUDBURST, una puerta trasera basada en C que se comunica a trav\u00e9s de HTTP.<\/p>\n<div class=\"ad_two clear\" style=\"margin:0;background:#eef2fe;color:#160755;padding:0 20px;border:2px solid rgba(156,169,237,0.61);border-radius:5px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background:#c4c7ff;display:inline-block;padding:3px 20px;border-radius:100px;letter-spacing:1.2px\">SEMINARIO WEB<\/span><\/p>\n<p>Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px\">\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa?  \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/webinar-inside\" target=\"_blank\" style=\"padding:12px 30px;border-radius:6px;background-color:#4a53af;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN:0 0 25px 0;float:left;font-weight:500\">RESERVA TU ASIENTO<\/a><\/div>\n<p>En lo que es un uso continuo de la t\u00e9cnica Bring Your Own Vulnerable Driver (BYOVD) por parte de actores alineados con Corea del Norte, las intrusiones emplean adem\u00e1s un cuentagotas solo en memoria llamado LIGHTSHIFT que facilita la distribuci\u00f3n de otra pieza de malware con nombre en c\u00f3digo LIGHTSHOW.<\/p>\n<p>La utilidad, adem\u00e1s de tomar medidas para dificultar el an\u00e1lisis din\u00e1mico y est\u00e1tico, descarga una versi\u00f3n leg\u00edtima de un controlador con vulnerabilidades conocidas para realizar operaciones de lectura y escritura en la memoria del kernel y, en \u00faltima instancia, desarma el software de seguridad instalado en el host infectado.<\/p>\n<p>&#8220;Las herramientas de malware identificadas destacan el desarrollo continuo de malware y la implementaci\u00f3n de nuevas herramientas por parte de UNC2970&#8221;, dijo Mandiant.  &#8220;Aunque el grupo se ha centrado previamente en las industrias de defensa, medios y tecnolog\u00eda, la orientaci\u00f3n de los investigadores de seguridad sugiere un cambio en la estrategia o una expansi\u00f3n de sus operaciones&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/north-korean-unc2970-hackers-expands.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de marzo de 2023\ue804Ravie Lakshman\u00e1nAtaque cibern\u00e9tico\/malware Un grupo de espionaje norcoreano rastreado como UNC2970 se ha observado<\/p>\n","protected":false},"author":1,"featured_media":665722,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,14735,4661,4664,99,10210,4662,6214,4668,4667,36,4669,35239,4654,4658,4659,4653,4655,2498,1621,6213,4663,4666,4665,251,151809,4660],"class_list":["post-665721","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amplian","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-familias","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevas","tag-operaciones","tag-piratas","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sus","tag-unc2970","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/665721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=665721"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/665721\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/665722"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=665721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=665721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=665721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}