{"id":871393,"date":"2023-07-25T16:48:42","date_gmt":"2023-07-25T16:48:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/actores-del-estado-nacion-de-corea-del-norte-expuestos-en-jumpcloud-hack-despues-del-error-de-opsec\/"},"modified":"2023-07-25T16:48:46","modified_gmt":"2023-07-25T16:48:46","slug":"actores-del-estado-nacion-de-corea-del-norte-expuestos-en-jumpcloud-hack-despues-del-error-de-opsec","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/actores-del-estado-nacion-de-corea-del-norte-expuestos-en-jumpcloud-hack-despues-del-error-de-opsec\/","title":{"rendered":"Actores del Estado-naci\u00f3n de Corea del Norte expuestos en JumpCloud Hack despu\u00e9s del error de OPSEC"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los actores del estado-naci\u00f3n de Corea del Norte afiliados a la Oficina General de Reconocimiento (RGB) han sido atribuidos al hackeo de JumpCloud luego de un error de seguridad operativa (OPSEC) que expuso su direcci\u00f3n IP real.<\/p>\n<p>La firma de inteligencia de amenazas propiedad de Google, Mandiant, atribuy\u00f3 la actividad a un actor de amenazas que rastrea con el nombre UNC4899, que probablemente comparte superposiciones con grupos que ya est\u00e1n siendo monitoreados como Jade Sleet y TraderTraitor, un grupo con un historial de huelgas en los sectores de blockchain y criptomonedas.<\/p>\n<p>UNC4899 tambi\u00e9n se superpone con APT43, otro equipo de pirater\u00eda asociado con la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) que fue desenmascarado a principios de marzo mientras realizaba una serie de campa\u00f1as para recopilar inteligencia y desviar criptomonedas de empresas objetivo.<\/p>\n<p>El modus operandi del colectivo adversario se caracteriza por el uso de Cajas de Relevos Operacionales (<a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/cloud-metadata-abuse-unc2903\" target=\"_blank\">ORB<\/a>) usando t\u00faneles L2TP IPsec junto con proveedores comerciales de VPN para disfrazar el verdadero punto de origen del atacante, con servicios comerciales de VPN actuando como el salto final.<\/p>\n<p>&#8220;Ha habido muchas ocasiones en las que los actores de amenazas de la RPDC no emplearon este \u00faltimo salto, o por error no lo utilizaron mientras realizaban acciones en operaciones en la red de la v\u00edctima&#8221;, dijo la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/north-korea-supply-chain\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado el lunes, agregando que observ\u00f3 &#8220;UNC4899 conect\u00e1ndose directamente a un ORB controlado por un atacante desde su 175.45.178[.]0\/24 subred&#8221;.<\/p>\n<p>La intrusi\u00f3n dirigida contra JumpCloud tuvo lugar el 22 de junio de 2023, como parte de un <a rel=\"nofollow noopener\" href=\"https:\/\/jumpcloud.com\/blog\/security-update-incident-details\" target=\"_blank\">sofisticada campa\u00f1a de spear-phishing<\/a> que aprovech\u00f3 el acceso no autorizado para violar a menos de cinco clientes y menos de 10 sistemas en lo que se denomina un ataque a la cadena de suministro de software.<\/p>\n<p>Los hallazgos de Mandiant se basan en una respuesta a incidentes iniciada despu\u00e9s de un ataque cibern\u00e9tico contra uno de los clientes afectados de JumpCloud, una entidad de soluciones de software sin nombre, cuyo punto de partida es un script malicioso de Ruby (&#8220;init.rb&#8221;) ejecutado a trav\u00e9s del agente de JumpCloud el 27 de junio de 2023.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Un aspecto notable del incidente es su objetivo de cuatro sistemas Apple que ejecutan macOS Ventura versiones 13.3 o 13.4.1, lo que subraya la continua inversi\u00f3n de los actores norcoreanos en perfeccionar malware especialmente dise\u00f1ado para la plataforma en los \u00faltimos meses.<\/p>\n<p>&#8220;El acceso inicial se obtuvo al comprometer a JumpCloud e insertar un c\u00f3digo malicioso en su marco de comandos&#8221;, explic\u00f3 la compa\u00f1\u00eda.  &#8220;En al menos un caso, el c\u00f3digo malicioso era un script ligero de Ruby que se ejecutaba a trav\u00e9s del agente JumpCloud&#8221;.<\/p>\n<p>El script, por su parte, est\u00e1 dise\u00f1ado para descargar y ejecutar un payload de segunda etapa llamado FULLHOUSE.DOORED, us\u00e1ndolo como un conducto para implementar malware adicional como STRATOFEAR y TIEDYE, despu\u00e9s de lo cual los payloads anteriores se eliminaron del sistema en un intento de encubrir las huellas:<\/p>\n<ul>\n<li><strong>FULLHOUSE.DOORED<\/strong> &#8211; Puerta trasera de primera etapa basada en AC\/C++ que se comunica mediante HTTP y viene con soporte para la ejecuci\u00f3n de comandos de shell, transferencia de archivos, administraci\u00f3n de archivos e inyecci\u00f3n de procesos<\/li>\n<li><strong>ESTRATOFEAR<\/strong> &#8211; Un implante modular de segunda etapa dise\u00f1ado principalmente para recopilar informaci\u00f3n del sistema, as\u00ed como para recuperar y ejecutar m\u00e1s m\u00f3dulos desde un servidor remoto o cargado desde un disco.<\/li>\n<li><strong>TIEDYE<\/strong> &#8211; Un ejecutable Mach-O de segunda etapa que puede comunicarse con un servidor remoto para ejecutar cargas \u00fatiles adicionales, recopilar informaci\u00f3n b\u00e1sica del sistema y ejecutar comandos de shell<\/li>\n<\/ul>\n<p>Tambi\u00e9n se dice que TIEDYE exhibe similitudes con RABBITHUNT, una puerta trasera escrita en C++ que se comunica a trav\u00e9s de un protocolo binario personalizado sobre TCP y que es capaz de invertir shell, transferir archivos, crear y terminar procesos.<\/p>\n<p>&#8220;La campa\u00f1a dirigida a JumpCloud y el compromiso de la cadena de suministro de la RPDC informado anteriormente a principios de este a\u00f1o que afect\u00f3 a la aplicaci\u00f3n X_TRADER de Trading Technologies y al software de la aplicaci\u00f3n de escritorio 3CX, ejemplifica los efectos en cascada de estas operaciones para obtener acceso a los proveedores de servicios a fin de comprometer a las v\u00edctimas posteriores&#8221;, dijo Mandiant.<\/p>\n<p>&#8220;Ambas operaciones tienen v\u00ednculos sospechosos con actores de la RPDC motivados financieramente, lo que sugiere que los operadores de la RPDC est\u00e1n implementando TTP de la cadena de suministro para apuntar a entidades seleccionadas como parte de los mayores esfuerzos para apuntar a las criptomonedas y los activos relacionados con fintech&#8221;.<\/p>\n<p>El desarrollo se produce d\u00edas despu\u00e9s de que GitHub advirtiera sobre un ataque de ingenier\u00eda social montado por el actor TraderTraitor para enga\u00f1ar a los empleados que trabajan en empresas de cadenas de bloques, criptomonedas, apuestas en l\u00ednea y seguridad cibern\u00e9tica para que ejecuten c\u00f3digo alojado en un repositorio de GitHub que depend\u00eda de paquetes maliciosos alojados en npm.<\/p>\n<p>Se ha descubierto que la cadena de infecci\u00f3n aprovecha las dependencias maliciosas de npm para descargar una carga \u00fatil de segunda etapa desconocida desde un dominio controlado por un actor.  Desde entonces, los paquetes han sido retirados y las cuentas suspendidas.<\/p>\n<p>&#8220;Los paquetes identificados, publicados en pares, requer\u00edan instalaci\u00f3n en una secuencia espec\u00edfica, recuperando posteriormente un token que facilit\u00f3 la descarga de una carga \u00fatil maliciosa final desde un servidor remoto&#8221;, Phylum <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/junes-sophisticated-npm-attack-attributed-to-north-korea\/\" target=\"_blank\">dicho<\/a> en un nuevo an\u00e1lisis que detalla el descubrimiento de nuevos m\u00f3dulos npm utilizados en la misma campa\u00f1a.<\/p>\n<p>&#8220;La amplia superficie de ataque que presentan estos ecosistemas es dif\u00edcil de ignorar. Es pr\u00e1cticamente imposible para un desarrollador en el mundo de hoy no confiar en ning\u00fan paquete de c\u00f3digo abierto. Esta realidad suele ser explotada por actores de amenazas que buscan maximizar su radio de explosi\u00f3n para la distribuci\u00f3n generalizada de malware, como ladrones o ransomware&#8221;.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>Pyongyang ha utilizado durante mucho tiempo robos de criptomonedas para impulsar su programa de armas nucleares sancionado, al tiempo que organiza ataques de ciberespionaje para recopilar inteligencia estrat\u00e9gica en apoyo de las prioridades pol\u00edticas y de seguridad nacional del r\u00e9gimen.<\/p>\n<p>&#8220;El aparato de inteligencia de Corea del Norte posee la flexibilidad y la resiliencia para crear unidades cibern\u00e9ticas basadas en las necesidades del pa\u00eds&#8221;, Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/mapping-dprk-groups-to-government\" target=\"_blank\">anotado<\/a> el a\u00f1o pasado.  &#8220;Adem\u00e1s, las superposiciones en infraestructura, malware y t\u00e1cticas, t\u00e9cnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibern\u00e9ticas&#8221;.<\/p>\n<p>El Grupo Lazarus sigue siendo un prol\u00edfico actor de amenazas patrocinado por el estado en este sentido, lanzando constantemente ataques que est\u00e1n dise\u00f1ados para entregar de todo, desde troyanos de acceso remoto hasta ransomware y puertas traseras especialmente dise\u00f1adas, y tambi\u00e9n demostrando una disposici\u00f3n para cambiar t\u00e1cticas y t\u00e9cnicas para obstaculizar el an\u00e1lisis y hacer que su seguimiento sea mucho m\u00e1s dif\u00edcil.<\/p>\n<p>Esto se ejemplifica por su capacidad no solo para comprometer los servidores web vulnerables de Microsoft Internet Information Service (IIS), sino tambi\u00e9n para usarlos como centros de distribuci\u00f3n de malware en ataques de pozos de agua dirigidos a Corea del Sur, seg\u00fan AhnLab Security Emergency Response Center (ASEC).<\/p>\n<p>&#8220;El actor de amenazas utiliza continuamente ataques de vulnerabilidad para el acceso inicial a sistemas sin parches&#8221;, ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/55369\/\" target=\"_blank\">dicho<\/a>.  &#8220;Es uno de los grupos de amenazas m\u00e1s peligrosos y altamente activos en todo el mundo&#8221;.<\/p>\n<p>Un segundo grupo respaldado por RGB que tambi\u00e9n se enfoca en recopilar informaci\u00f3n sobre eventos geopol\u00edticos y negociaciones que afectan los intereses de la RPDC es Kimsuky, que ha sido detectado usando <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/chrome\/answer\/1649523?hl=en&amp;co=GENIE.Platform%3DDesktop\" target=\"_blank\">Escritorio remoto de Chrome<\/a> para requisar de forma remota hosts ya comprometidos a trav\u00e9s de puertas traseras como AppleSeed.<\/p>\n<p>&#8220;El grupo Kimsuky APT lanza continuamente ataques de spear-phishing contra usuarios coreanos&#8221;, ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/55145\/\" target=\"_blank\">se\u00f1al\u00f3<\/a> este mes.  &#8220;Por lo general, emplean m\u00e9todos de distribuci\u00f3n de malware a trav\u00e9s de archivos de documentos ocultos adjuntos a correos electr\u00f3nicos, y los usuarios que abren estos archivos pueden perder el control de su sistema actual&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/north-korean-nation-state-actors.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los actores del estado-naci\u00f3n de Corea del Norte afiliados a la Oficina General de Reconocimiento (RGB) han sido<\/p>\n","protected":false},"author":1,"featured_media":871394,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3588,4657,4656,4661,4664,1939,38,755,5369,144739,43518,4662,32187,173102,4668,4667,595,4654,4658,4659,4653,4655,176056,4663,4666,4665,4660],"class_list":["post-871393","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actores","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-corea","tag-del","tag-despues","tag-error","tag-estadonacion","tag-expuestos","tag-filtracion-de-datos","tag-hack","tag-jumpcloud","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-norte","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-opsec","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/871393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=871393"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/871393\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/871394"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=871393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=871393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=871393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}