Corea del Norte apunta a los investigadores de seguridad en una elaborada campaña de 0 días - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Corea del Norte apunta a los investigadores de seguridad en una elaborada campaña de 0 días

Hola, un placer verte por aquí. Yo soy Eduardo Arroyo y en esta ocasión hablaremos sobre Corea del Norte apunta a los investigadores de seguridad en una elaborada campaña de 0 días

Corea del Norte apunta a los investigadores de seguridad en una elaborada campaña de 0 días

Los piratas informáticos se disfrazan de investigadores de seguridad para hacerse amigos de los analistas y, finalmente, infectar sistemas completamente parcheados de varias empresas con una puerta trasera maliciosa.

Los piratas informáticos vinculados a Corea del Norte están apuntando a los investigadores de seguridad con una elaborada campaña de ingeniería social que crea relaciones de confianza con ellos e infecta los sistemas de sus organizaciones con malware de puerta trasera personalizado.

Esta es la segunda Grupo de análisis de amenazas de Google (TAG), que emitió una advertencia el lunes por la noche sobre una campaña que ha estado monitoreando en los últimos meses que utiliza varios medios para interactuar y atacar a los profesionales que trabajan en la investigación y el desarrollo de vulnerabilidades en múltiples organizaciones.

El esfuerzo incluye a los atacantes que van tan lejos como para crear su propio blog de investigación, múltiples perfiles de Twitter y otras cuentas de redes sociales para que parezcan investigadores de seguridad legítimos, según uno. entrada en el blog por Adam Weidermann de TAG. Los piratas informáticos primero establecen comunicaciones con los investigadores de una manera que parece estar trabajando de manera creíble en proyectos similares, luego les piden que cooperen y finalmente infectan las máquinas de las víctimas.

Las infecciones se propagan a través de una puerta trasera maliciosa en un proyecto de Visual Studio o a través de un sitio web infectado, escribió. Además, las personas infectadas estaban ejecutando versiones actualizadas y completamente parcheadas del navegador Windows 10 y Chrome, una señal de que es probable que los piratas informáticos estén usando vulnerabilidades de día cero en la campaña, concluyó el investigador.

TAG atribuyó a los actores de la amenaza a «una entidad respaldada por el gobierno con sede en Corea del Norte».

«Utilizaron estos perfiles de Twitter para publicar enlaces a su blog, publicar videos de sus supuestos exploits y para ampliar y retuitear publicaciones de otras cuentas que controlan», según la publicación. «Su blog contiene comentarios y análisis de vulnerabilidades que se han divulgado públicamente, incluidas publicaciones de invitados por investigadores de seguridad legítimos involuntarios, probablemente en un esfuerzo por generar mayor credibilidad con otros investigadores de seguridad».

Además de Twitter, los actores de amenazas también utilizaron otras plataformas, incluidas LinkedIn, Telegram, Discord, Keybase y el correo electrónico para comunicarse con posibles objetivos, dijo Weidermann. Hasta ahora, parece que solo los investigadores de seguridad que trabajan en máquinas con Windows han sido atacados.

Los atacantes inician el contacto preguntando a un investigador si les gustaría colaborar juntos en la investigación de vulnerabilidades. Los creadores de amenazas parecen ser investigadores creíbles por derecho propio porque ya han publicado videos de exploits en los que han trabajado, incluida la simulación del éxito de un exploit funcional para una vulnerabilidad de Windows Defender existente y recientemente parcheada. CVE-2021-1647, en Youtube.

La vulnerabilidad ha ganado notoriedad ya que ha sido explotada durante los últimos tres meses y explotada por piratas informáticos como parte del ataque masivo SolarWinds.

«En el video, pretendían mostrar un exploit en funcionamiento exitoso generando un shell cmd.exe, pero una revisión cuidadosa del video muestra que el exploit es falso», explicó Weidermann.

Si un investigador objetivo desprevenido accede a cooperar, los atacantes le proporcionan al investigador un proyecto de Visual Studio infectado con código malicioso.

«Dentro del proyecto de Visual Studio estaría el código fuente para explotar la vulnerabilidad, así como una DLL adicional que se ejecutaría a través de eventos de compilación de Visual Studio», escribió Weidermann. «La DLL es un malware personalizado que comenzaría a comunicarse de inmediato con los dominios de comando y control (C2) controlados por los actores».

Las víctimas también pueden infectarse siguiendo un enlace de Twitter alojado en blog.br0vvnn[.]que visite el blog de un actor de amenazas, según TAG. El acceso al enlace instala un servicio malicioso en el sistema del investigador que realiza una puerta trasera en la memoria que establece una conexión con un servidor C2 propiedad del actor, encontraron los investigadores.

El equipo de TAG hasta ahora no pudo confirmar el mecanismo de compromiso, solicitando ayuda de la comunidad de mayor seguridad para identificar y enviar información a través del Programa de recompensas por vulnerabilidades de Chrome.

Los investigadores tampoco especificaron específicamente cuál fue la razón probable de los ataques; sin embargo, los actores de amenazas supuestamente apuntan a descubrir y robar vulnerabilidades para usarlas en las campañas de amenazas persistentes avanzadas (APT) de Corea del Norte.

La publicación de Weidermann incluye una lista de cuentas conocidas utilizadas en la campaña y aconsejó a los investigadores que pueden haberse comunicado con cualquiera de las cuentas o visitado sitios relacionados para que examinen sus sistemas en busca de compromisos.

«Esperamos que esta publicación recuerde a los miembros de la comunidad de investigación de seguridad que son objetivos de atacantes respaldados por el gobierno y deben permanecer atentos al interactuar con personas con las que no han interactuado anteriormente», escribió Weidermann.

.

No te olvides compartir en tus redes sociales para que tus colegas lo disfruten

??? ? ? ???

Comparte