{"id":734411,"date":"2023-05-02T20:06:31","date_gmt":"2023-05-02T20:06:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/scarcruft-de-corea-del-norte-implementa-malware-rokrat-a-traves-de-cadenas-de-infeccion-de-archivos-lnk\/"},"modified":"2023-05-02T20:06:34","modified_gmt":"2023-05-02T20:06:34","slug":"scarcruft-de-corea-del-norte-implementa-malware-rokrat-a-traves-de-cadenas-de-infeccion-de-archivos-lnk","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/scarcruft-de-corea-del-norte-implementa-malware-rokrat-a-traves-de-cadenas-de-infeccion-de-archivos-lnk\/","title":{"rendered":"ScarCruft de Corea del Norte implementa malware RokRAT a trav\u00e9s de cadenas de infecci\u00f3n de archivos LNK"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El actor de amenazas norcoreano conocido como <strong>ScarCruft<\/strong> comenz\u00f3 a experimentar con archivos LNK de gran tama\u00f1o como ruta de entrega para el malware RokRAT en julio de 2022, el mismo mes en que Microsoft comenz\u00f3 a bloquear las macros en los documentos de Office de forma predeterminada.<\/p>\n<p>&#8220;RokRAT no ha cambiado significativamente a lo largo de los a\u00f1os, pero sus m\u00e9todos de implementaci\u00f3n han evolucionado, ahora utiliza archivos que contienen archivos LNK que inician cadenas de infecci\u00f3n de varias etapas&#8221;, Check Point <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/chain-reaction-rokrats-missing-link\/\" target=\"_blank\">dicho<\/a> en un nuevo informe t\u00e9cnico.<\/p>\n<p>&#8220;Esta es otra representaci\u00f3n de una tendencia importante en el panorama de amenazas, donde tanto las APT como los ciberdelincuentes intentan superar el bloqueo de macros de fuentes no confiables&#8221;.<\/p>\n<p>ScarCruft, tambi\u00e9n conocido por los nombres APT37, InkySquid, Nickel Foxcroft, Reaper, RedEyes y Ricochet Chollima, es un grupo de amenazas que se dirige casi exclusivamente a personas y entidades de Corea del Sur como parte de ataques de phishing dirigidos dise\u00f1ados para ofrecer una variedad de herramientas personalizadas. .<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682938927_691_El-actor-de-amenazas-vietnamita-infecta-500000-dispositivos-usando-tacticas.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El colectivo adversario, a diferencia del Grupo Lazarus o Kimsuky, es <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/mapping-dprk-groups-to-government\" target=\"_blank\">supervisado<\/a> por el Ministerio de Seguridad del Estado de Corea del Norte (<a rel=\"nofollow noopener\" href=\"https:\/\/www.dailynk.com\/english\/several-state-security-agency-agents-busted-for-accessing-internet-without-permission\/\" target=\"_blank\">SMS<\/a>), que se encarga de las actividades de contraespionaje nacional y contrainteligencia en el extranjero, seg\u00fan Mandiant.<\/p>\n<p>El principal malware elegido por el grupo es <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/introducing-rokrat\/\" target=\"_blank\">RokRAT<\/a> (tambi\u00e9n conocido como DOGCALL), que desde entonces se ha adaptado a otras plataformas como macOS (CloudMensis) y Android (RambleOn), lo que indica que la puerta trasera se est\u00e1 desarrollando y manteniendo activamente.<\/p>\n<p>RokRAT y sus variantes est\u00e1n equipados para llevar a cabo una amplia gama de actividades como robo de credenciales, exfiltraci\u00f3n de datos, captura de pantalla, recopilaci\u00f3n de informaci\u00f3n del sistema, ejecuci\u00f3n de comandos y shellcode, y gesti\u00f3n de archivos y directorios.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683057991_417_ScarCruft-de-Corea-del-Norte-implementa-malware-RokRAT-a-traves.png\" alt=\"Malware RokRAT\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Malware RokRAT\"\/><\/div>\n<p>La informaci\u00f3n recopilada, parte de la cual se almacena en forma de archivos MP3 para cubrir sus huellas, se devuelve mediante servicios en la nube como Dropbox, Microsoft OneDrive, pCloud y Yandex Cloud en un intento por disfrazar el comando y control (C2 ) comunicaciones como leg\u00edtimas.<\/p>\n<p>Otro malware personalizado utilizado por el grupo incluye, entre otros, Chinotto, BLUELIGHT, GOLDBACKDOOR, Dolphin y, m\u00e1s recientemente, M2RAT.  Tambi\u00e9n se sabe que utiliza malware b\u00e1sico como Amadey, un descargador que puede recibir comandos del atacante para descargar cargas \u00fatiles adicionales, en un intento por confundir la atribuci\u00f3n.<\/p>\n<p>El Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab tambi\u00e9n destac\u00f3 el uso de archivos LNK como se\u00f1uelos para activar las secuencias de infecci\u00f3n la semana pasada, con los archivos que contienen comandos de PowerShell que implementan el malware RokRAT.<\/p>\n<p>Si bien el cambio en el modus operandi se\u00f1ala los esfuerzos de ScarCruft para mantenerse al d\u00eda con el cambiante ecosistema de amenazas, ha seguido aprovechando documentos de Word maliciosos basados \u200b\u200b\u200b\u200ben macros en abril de 2023 para eliminar el malware, reflejando una cadena similar que fue <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2021\/01\/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat\" target=\"_blank\">reportado<\/a> por Malwarebytes en enero de 2021.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Otra ola de ataques observada a principios de noviembre de 2022, seg\u00fan la compa\u00f1\u00eda de ciberseguridad israel\u00ed, emple\u00f3 archivos ZIP que incorporaban archivos LNK para implementar el malware Amadey.<\/p>\n<p>&#8220;[The LNK file] El m\u00e9todo puede desencadenar una cadena de infecci\u00f3n igualmente efectiva con un simple doble clic, una que es m\u00e1s confiable que las vulnerabilidades de n-day o las macros de Office que requieren clics adicionales para iniciarse&#8221;, dijo Check Point.<\/p>\n<p>&#8220;APT37 contin\u00faa representando una amenaza considerable, lanza m\u00faltiples campa\u00f1as en las plataformas y mejora significativamente sus m\u00e9todos de entrega de malware&#8221;.<\/p>\n<p>Los hallazgos se producen cuando Kaspersky revel\u00f3 un nuevo malware basado en Go desarrollado por ScarCruft con nombre en c\u00f3digo SidLevel que utiliza el servicio de mensajer\u00eda en la nube Ably como un mecanismo C2 por primera vez y viene con &#8220;amplias capacidades para robar informaci\u00f3n confidencial de las v\u00edctimas&#8221;.<\/p>\n<p>\u201cEl grupo contin\u00faa apuntando a personas relacionadas con Corea del Norte, incluidos novelistas, estudiantes acad\u00e9micos y tambi\u00e9n empresarios que parecen enviar fondos a Corea del Norte\u201d, dijo la firma rusa de ciberseguridad. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/apt-trends-report-q1-2023\/109581\/\" target=\"_blank\">anotado<\/a> en su Informe de tendencias APT para el primer trimestre de 2023.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/north-koreas-scarcruft-deploys-rokrat.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de mayo de 2023\ue804Ravie Lakshman\u00e1nInteligencia de amenazas El actor de amenazas norcoreano conocido como ScarCruft comenz\u00f3 a<\/p>\n","protected":false},"author":1,"featured_media":734412,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,4661,26685,4664,1939,38,4662,4881,908,4668,4667,140964,4669,595,4654,4658,4659,4653,4655,4663,160280,131233,4666,4665,116,4660],"class_list":["post-734411","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-ataques-ciberneticos","tag-cadenas","tag-como-hackear","tag-corea","tag-del","tag-filtracion-de-datos","tag-implementa","tag-infeccion","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-lnk","tag-malware","tag-norte","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-rokrat","tag-scarcruft","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traves","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/734411","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=734411"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/734411\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/734412"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=734411"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=734411"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=734411"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}