Los actores de amenazas asociados con Corea del Norte continúan atacando a la comunidad de ciberseguridad utilizando un error de día cero en software no especificado durante las últimas semanas para infiltrarse en sus máquinas.
Los hallazgos provienen del Grupo de Análisis de Amenazas (TAG) de Google, que encontró que el adversario configuraba cuentas falsas en plataformas de redes sociales como X (anteriormente Twitter) y Mastodon para forjar relaciones con objetivos potenciales y generar confianza.
«En un caso, mantuvieron una conversación de meses, intentando colaborar con un investigador de seguridad en temas de interés mutuo», dijeron los investigadores de seguridad Clement Lecigne y Maddie Stone . «Después del contacto inicial a través de X, pasaron a una aplicación de mensajería cifrada como Signal, WhatsApp o Wire».
El ejercicio de ingeniería social finalmente allanó el camino para la aparición de un archivo malicioso que contenía al menos un día cero en un paquete de software popular. La vulnerabilidad se encuentra actualmente en proceso de reparación.
La carga útil, por su parte, realiza una serie de comprobaciones anti-máquina virtual (VM) y transmite la información recopilada, junto con una captura de pantalla, a un servidor controlado por el atacante.
Una búsqueda en X muestra que la cuenta ahora suspendida ha estado activa desde al menos octubre de 2022, y el actor lanzó un código de explotación de prueba de concepto (PoC) para fallas de escalada de privilegios de alta gravedad en el kernel de Windows, como CVE-2021. -34514 y CVE-2022-21881 .
Esta no es la primera vez que actores norcoreanos aprovechan señuelos con temas de colaboración para infectar a las víctimas. En julio de 2023, GitHub reveló detalles de una campaña de npm en la que adversarios rastreados como TraderTraitor (también conocido como Jade Sleet) utilizaron personas falsas para apuntar al sector de la ciberseguridad, entre otros.
«Después de establecer contacto con un objetivo, el actor de amenazas lo invita a colaborar en un repositorio de GitHub y lo convence para clonar y ejecutar su contenido», dijo la compañía propiedad de Microsoft en ese momento.
Google TAG dijo que también encontró una herramienta independiente de Windows llamada «GetSymbol» desarrollada por los atacantes y alojada en GitHub como un posible vector de infección secundaria. Se ha bifurcado 23 veces hasta la fecha.
El software manipulado, publicado en el servicio de alojamiento de códigos en septiembre de 2022 y actualizado varias veces antes de ser eliminado, ofrece un medio para «descargar símbolos de depuración de los servidores de símbolos de Microsoft, Google, Mozilla y Citrix para ingenieros inversos».
Pero también viene con la capacidad de descargar y ejecutar código arbitrario desde un dominio de comando y control (C2).
La divulgación se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) reveló que el actor estatal norcoreano conocido como ScarCruft está aprovechando los señuelos de archivos LNK en correos electrónicos de phishing para ofrecer una puerta trasera capaz de recopilar datos confidenciales y ejecutar instrucciones maliciosas.
También sigue a nuevos hallazgos de Microsoft de que «múltiples actores de amenazas norcoreanos han atacado recientemente al gobierno ruso y a la industria de defensa -probablemente para recopilar información de inteligencia- al mismo tiempo que brindan apoyo material a Rusia en su guerra contra Ucrania».
SentinelOne también destacó el objetivo de las empresas de defensa rusas el mes pasado, que reveló que tanto Lazarus Group (también conocido como Diamond Sleet o Labyrinth Chollima) como ScarCruft (también conocido como Ricochet Chollima o Ruby Sleet) violaron NPO Mashinostroyeniya, una empresa rusa de ingeniería de misiles, para facilitar la recogida de información.
También se ha observado que los dos actores se infiltraron en empresas de fabricación de armas con sede en Alemania e Israel desde noviembre de 2022 hasta enero de 2023, sin mencionar que comprometieron un instituto de investigación aeroespacial en Rusia, así como empresas de defensa en Brasil, Chequia, Finlandia, Italia, Noruega y Polonia desde principios de año.
«Esto sugiere que el gobierno de Corea del Norte está asignando múltiples grupos de actores de amenazas a la vez para cumplir con requisitos de recopilación de alta prioridad para mejorar las capacidades militares del país», dijo el gigante tecnológico.
Simplemente no es ciberespionaje. A principios de esta semana, la Oficina Federal de Investigaciones (FBI) de Estados Unidos implicó al Grupo Lazarus como detrás del robo de 41 millones de dólares en moneda virtual de Stake.com, un casino y plataforma de apuestas en línea.
Dijo que los fondos robados asociados con las redes Ethereum, Binance Smart Chain (BSC) y Polygon de Stake.com se trasladaron a 33 billeteras diferentes alrededor del 4 de septiembre de 2023.
«Los actores de amenazas cibernéticas de Corea del Norte llevan a cabo operaciones cibernéticas con el objetivo de (1) recopilar inteligencia sobre las actividades de los adversarios percibidos del estado: Corea del Sur, Estados Unidos y Japón, (2) recopilar inteligencia sobre las capacidades militares de otros países para mejorar las suyas propias. y (3) recaudar fondos en criptomonedas para el estado», dijo Microsoft.
Fuente y redacción: thehackernews.com
