{"id":769151,"date":"2023-05-23T18:53:34","date_gmt":"2023-05-23T18:53:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-kimsuky-de-corea-del-norte-atacan-de-nuevo-con-malware-de-reconocimiento-avanzado\/"},"modified":"2023-05-23T18:53:37","modified_gmt":"2023-05-23T18:53:37","slug":"los-piratas-informaticos-de-kimsuky-de-corea-del-norte-atacan-de-nuevo-con-malware-de-reconocimiento-avanzado","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-kimsuky-de-corea-del-norte-atacan-de-nuevo-con-malware-de-reconocimiento-avanzado\/","title":{"rendered":"Los piratas inform\u00e1ticos de Kimsuky de Corea del Norte atacan de nuevo con malware de reconocimiento avanzado"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Amenaza Cibern\u00e9tica \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El grupo de amenazas persistentes avanzadas (APT) de Corea del Norte conocido como <strong>kimsuky<\/strong> ha sido observado usando una pieza de malware personalizado llamado RandomQuery como parte de una operaci\u00f3n de reconocimiento y exfiltraci\u00f3n de informaci\u00f3n.<\/p>\n<p>&#8220;\u00daltimamente, Kimsuky ha estado distribuyendo constantemente malware personalizado como parte de campa\u00f1as de reconocimiento para permitir ataques posteriores&#8221;, los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/kimsuky-ongoing-campaign-using-tailored-reconnaissance-toolkit\/\" target=\"_blank\">dicho<\/a> en un informe publicado hoy.<\/p>\n<p>La campa\u00f1a dirigida en curso, seg\u00fan la firma de seguridad cibern\u00e9tica, est\u00e1 dirigida principalmente a los servicios de informaci\u00f3n, as\u00ed como a las organizaciones que apoyan a los activistas de derechos humanos y a los desertores de Corea del Norte.<\/p>\n<p>Kimsuky, activo desde 2012, ha exhibido patrones de focalizaci\u00f3n que se alinean con los mandatos y prioridades operativos de Corea del Norte.<\/p>\n<p>Las misiones de recopilaci\u00f3n de inteligencia han implicado el uso de un conjunto diverso de malware, incluido otro programa de reconocimiento llamado ReconShark, como lo detall\u00f3 SentinelOne a principios de este mes.<\/p>\n<p>El \u00faltimo grupo de actividad asociado con el grupo comenz\u00f3 el 5 de mayo de 2023 y aprovecha una variante de RandomQuery que est\u00e1 espec\u00edficamente dise\u00f1ada para enumerar archivos y desviar datos confidenciales.<\/p>\n<p>RandomQuery, junto con FlowerPower y AppleSeed, se encuentran entre los <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/51461\/\" target=\"_blank\">mayor\u00eda<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/51469\/\" target=\"_blank\">frecuentemente distribuido<\/a> herramientas en el arsenal de Kimsuky, con el primero funcionando como un ladr\u00f3n de informaci\u00f3n y un conducto para distribuir troyanos de acceso remoto como TutRAT y xRAT.<\/p>\n<p>Los ataques comienzan con correos electr\u00f3nicos de phishing que pretenden ser de Daily NK, una destacada publicaci\u00f3n en l\u00ednea con sede en Se\u00fal que cubre los asuntos de Corea del Norte, para atraer a los objetivos potenciales a abrir un archivo de Ayuda HTML Compilado (CHM) de Microsoft.<\/p>\n<p>Vale la pena se\u00f1alar en esta etapa que los archivos CHM tambi\u00e9n han sido adoptados como un se\u00f1uelo por otro actor del estado-naci\u00f3n de Corea del Norte conocido como ScarCruft.<\/p>\n<p>Lanzar el archivo CHM conduce a la ejecuci\u00f3n de un Visual Basic Script que emite una solicitud HTTP GET a un servidor remoto para recuperar la carga \u00fatil de la segunda etapa, una variante de VBScript de RandomQuery.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249, 251, 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217, 222, 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Luego, el malware procede a recopilar metadatos del sistema, procesos en ejecuci\u00f3n, aplicaciones instaladas y archivos de diferentes carpetas, todo lo cual se transmite de regreso al servidor de comando y control (C2).<\/p>\n<p>&#8220;Esta campa\u00f1a tambi\u00e9n demuestra el enfoque consistente del grupo de entregar malware a trav\u00e9s de archivos CHM&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Estos incidentes ponen de relieve el panorama en constante cambio de los grupos de amenaza de Corea del Norte, cuyo cometido no solo abarca el espionaje pol\u00edtico, sino tambi\u00e9n el sabotaje y las amenazas financieras&#8221;.<\/p>\n<p>Los hallazgos llegan d\u00edas despu\u00e9s del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/52970\/\" target=\"_blank\">descubierto<\/a> un ataque de pozo de agua montado por Kimsuky que implica la creaci\u00f3n de un sistema de correo web similar al utilizado por los institutos de investigaci\u00f3n de pol\u00edticas nacionales para recolectar las credenciales ingresadas por las v\u00edctimas.<\/p>\n<p>En un desarrollo relacionado, Kimsuky tambi\u00e9n ha sido <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/53046\/\" target=\"_blank\">vinculado a ataques<\/a> que arman los servidores vulnerables de Windows Internet Information Services (IIS) para eliminar el marco de trabajo posterior a la explotaci\u00f3n de Metasploit Meterpreter, que luego se usa para implementar un malware proxy basado en Go.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/north-korean-kimsuky-hackers-strike.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de mayo de 2023\ue804Ravie Lakshman\u00e1nAmenaza Cibern\u00e9tica \/ Malware El grupo de amenazas persistentes avanzadas (APT) de Corea<\/p>\n","protected":false},"author":1,"featured_media":769152,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6350,4661,43597,4664,99,1939,38,4662,6214,120187,4668,4667,36,4669,595,4654,4658,4659,4653,4655,480,6213,4663,13205,4666,4665,4660],"class_list":["post-769151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacan","tag-ataques-ciberneticos","tag-avanzado","tag-como-hackear","tag-con","tag-corea","tag-del","tag-filtracion-de-datos","tag-informaticos","tag-kimsuky","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-norte","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-piratas","tag-programa-malicioso-ransomware","tag-reconocimiento","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/769151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=769151"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/769151\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/769152"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=769151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=769151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=769151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}