{"id":942027,"date":"2023-09-08T10:41:46","date_gmt":"2023-09-08T10:41:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-aprovechan-el-error-de-dia-cero-para-atacar-a-los-investigadores-de-ciberseguridad\/"},"modified":"2023-09-08T10:41:50","modified_gmt":"2023-09-08T10:41:50","slug":"los-piratas-informaticos-norcoreanos-aprovechan-el-error-de-dia-cero-para-atacar-a-los-investigadores-de-ciberseguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-aprovechan-el-error-de-dia-cero-para-atacar-a-los-investigadores-de-ciberseguridad\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos aprovechan el error de d\u00eda cero para atacar a los investigadores de ciberseguridad"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de septiembre de 2023<\/span>\ue804<\/i>THN<\/span><\/span>D\u00eda Cero \/ Ataque Cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los actores de amenazas asociados con Corea del Norte contin\u00faan atacando a la comunidad de ciberseguridad utilizando un error de d\u00eda cero en software no especificado durante las \u00faltimas semanas para infiltrarse en sus m\u00e1quinas.<\/p>\n

Los hallazgos provienen del Grupo de An\u00e1lisis de Amenazas (TAG) de Google, que encontr\u00f3 que el adversario estaba configurando cuentas falsas en plataformas de redes sociales como X<\/a> (anteriormente Twitter) y Mastodonte<\/a> para forjar relaciones con objetivos potenciales y generar confianza.<\/p>\n

“En un caso, mantuvieron una conversaci\u00f3n de meses, intentando colaborar con un investigador de seguridad en temas de inter\u00e9s mutuo”, dijeron los investigadores de seguridad Clement Lecigne y Maddie Stone. dicho<\/a>. “Despu\u00e9s del contacto inicial a trav\u00e9s de X, pasaron a una aplicaci\u00f3n de mensajer\u00eda cifrada como Signal, WhatsApp o Wire”.<\/p>\n

En \u00faltima instancia, el ejercicio de ingenier\u00eda social allana el camino para la aparici\u00f3n de un archivo malicioso que contiene al menos un d\u00eda cero en un paquete de software popular. La vulnerabilidad se encuentra actualmente en proceso de reparaci\u00f3n.<\/p>\n

La carga \u00fatil, por su parte, realiza una serie de comprobaciones anti-m\u00e1quina virtual (VM) y transmite la informaci\u00f3n recopilada, junto con una captura de pantalla, a un servidor controlado por el atacante.<\/p>\n

\"La<\/a><\/center><\/section>\n

Una b\u00fasqueda en X muestra que la cuenta ahora suspendida ha estado activa desde al menos octubre de 2022, con el actor liberando<\/a> c\u00f3digo de explotaci\u00f3n de prueba de concepto (PoC) para alta gravedad<\/a> Defectos de escalada de privilegios.<\/a> en el kernel de Windows como CVE-2021-34514<\/a> y CVE-2022-21881<\/a>.<\/p>\n

Esta no es la primera vez que actores norcoreanos aprovechan se\u00f1uelos con temas de colaboraci\u00f3n para infectar a las v\u00edctimas. En julio de 2023, GitHub revel\u00f3 detalles de una campa\u00f1a de npm en la que adversarios rastreados como TraderTraitor (tambi\u00e9n conocido como Jade Sleet) utilizaron personas falsas para apuntar al sector de la ciberseguridad, entre otros.<\/p>\n

“Despu\u00e9s de establecer contacto con un objetivo, el actor de amenazas lo invita a colaborar en un repositorio de GitHub y lo convence para clonar y ejecutar su contenido”, dijo la compa\u00f1\u00eda propiedad de Microsoft en ese momento.<\/p>\n

Google TAG dijo que tambi\u00e9n encontr\u00f3 una herramienta independiente de Windows llamada “GetSymbol” desarrollada por los atacantes y alojada en GitHub como un posible vector de infecci\u00f3n secundaria. Se ha bifurcado 23 veces hasta la fecha.<\/p>\n

El software manipulado, publicado en GitHub all\u00e1 por septiembre de 2022 y ahora retirado, ofrece una forma de “descargar s\u00edmbolos de depuraci\u00f3n<\/a> de servidores de s\u00edmbolos de Microsoft, Google, Mozilla y Citrix para ingenieros inversos.”<\/p>\n

Pero tambi\u00e9n viene con la capacidad de descargar y ejecutar c\u00f3digo arbitrario desde un dominio de comando y control (C2).<\/p>\n

La divulgaci\u00f3n se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) revel\u00f3<\/a> Ese actor-estado-naci\u00f3n de Corea del Norte conocido como ScarCruft est\u00e1 aprovechando los se\u00f1uelos de archivos LNK en correos electr\u00f3nicos de phishing para ofrecer una puerta trasera capaz de recopilar datos confidenciales y ejecutar instrucciones maliciosas.<\/p>\n

Tambi\u00e9n sigue nuevos hallazgos<\/a> de Microsoft que “m\u00faltiples actores de amenazas norcoreanos han atacado recientemente al gobierno ruso y a la industria de defensa, probablemente para recopilar informaci\u00f3n de inteligencia, al mismo tiempo que brindan apoyo material a Rusia en su guerra contra Ucrania”.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n

<\/a><\/p>\n

\u00bfConsigui\u00f3 el MFA? \u00bfPAM? \u00bfProtecci\u00f3n de la cuenta de servicio? Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n

Potencia tus habilidades<\/a><\/section>\n

SentinelOne tambi\u00e9n destac\u00f3 el objetivo de las empresas de defensa rusas el mes pasado, que revel\u00f3 que tanto Lazarus Group (tambi\u00e9n conocido como Diamond Sleet o Labyrinth Chollima) como ScarCruft (tambi\u00e9n conocido como Ricochet Chollima o Ruby Sleet) violaron NPO Mashinostroyeniya, una empresa rusa de ingenier\u00eda de misiles, para facilitar la recogida de informaci\u00f3n.<\/p>\n

Tambi\u00e9n se ha observado que los dos actores se infiltraron en empresas de fabricaci\u00f3n de armas con sede en Alemania e Israel desde noviembre de 2022 hasta enero de 2023, sin mencionar que comprometieron un instituto de investigaci\u00f3n aeroespacial en Rusia, as\u00ed como empresas de defensa en Brasil, Chequia, Finlandia, Italia, Noruega y Polonia desde principios de a\u00f1o.<\/p>\n

“Esto sugiere que el gobierno de Corea del Norte est\u00e1 asignando m\u00faltiples grupos de actores de amenazas a la vez para cumplir con requisitos de recopilaci\u00f3n de alta prioridad para mejorar las capacidades militares del pa\u00eds”, dijo el gigante tecnol\u00f3gico.<\/p>\n

A principios de esta semana, la Oficina Federal de Investigaciones (FBI) de EE. UU. implicado<\/a> El Grupo Lazarus est\u00e1 detr\u00e1s del robo de 41 millones en moneda virtual de Stake.com, un casino online y plataforma de apuestas.<\/p>\n

Dijo que los fondos robados asociados con las redes Ethereum, Binance Smart Chain (BSC) y Polygon de Stake.com se trasladaron a 33 billeteras diferentes alrededor del 4 de septiembre de 2023.<\/p>\n

“Los actores de amenazas cibern\u00e9ticas de Corea del Norte llevan a cabo operaciones cibern\u00e9ticas con el objetivo de (1) recopilar inteligencia sobre las actividades de los adversarios percibidos del estado: Corea del Sur, Estados Unidos y Jap\u00f3n, (2) recopilar inteligencia sobre las capacidades militares de otros pa\u00edses para mejorar las suyas propias. y (3) recaudar fondos en criptomonedas para el estado”, dijo Microsoft.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n