Saltar al contenido

Campaña de Corea del Norte para hackear a expertos en ciberseguridad

campana-de-corea-del-norte-para-hackear-a-expertos-en-ciberseguridad

Los analistas de Google (TAG o Threat Analysis Group) han avisado hace poco de que está teniendo lugar una campaña de ingeniería social, enfocada a realizar ataques a profesionales que trabajan como investigadores de vulnerabilidades y Red Teams.

No es la primera vez que el líder supremo de Corea del Norte -el señor ese del peinado exclusivo- decide lanzar a sus hordas de hackers mal pagados contra el malvado occidente.

La novedad ahora es que los destinatarios de sus iras son trabajadores del sector de la ciberseguridad, y el vector de ataque son contactos a través de medios sociales, con el objetivo de aprovechar una vulnerabilidad y varios LOLbas de Windows.

Hackers norcoreanos intentan engañar a expertos a través de medios sociales

Según el informe, se estima que los atacantes habrían desplegado una importante farsa, combinando un supuesto Blog con una red social bastante amplia de teóricos “expertos” en seguridad informática. Así, se intentaría inocular malware en equipos de investigadores privados.

Estos actores se presentaban como profesionales dedicados a detección de vulnerabilidades y diseñadores de exploits para operaciones de Red Team o pentesting.

Se cubrieron varios canales para ganar más visibilidad: Twitter, LinkedIn, Telegram, Discord o Keybase. Incluso el email se utilizó como vía de contacto. Una vez iniciado dicho contacto, proponían a los interesados la colaboración para investigar vulnerabilidades.

Sus escritos parecían convencer a parte del personal de la buena intención con que hacían aquello. Incluso, se veía como había guest-posting de supuestos y reputados expertos en seguridad.

Por supuesto casi todo era paja, pero se cuidaron de colar alguna prueba empírica que demostrase el éxito de su trabajo, como es el caso de la vulnerabilidad CVE-2021-1647, que afectaba a Windows Defender.

El ataque

Una vez establecidas unas buenas relaciones de confianza, se acababa el “buen rollito” y se compartía el archivo infectado con la víctima, que era en todos los casos uno de tipo Visual Studio Project. Venía con un troyano en su interior.

También se emplazaba al usuario a visitar el blog de referencia. Esa web de la que ya hemos hablado. Una vez desplegado el malware en el equipo, no obstante, si se visitaba la web, cualquier instancia del navegador de turno (se ha reportado con Chrome) resultaba infectada y se descargaba nuevo código dañino en el equipo.

Incluso aquellos usuarios con Windows 10 en su última versión y un navegador Chrome actualizado eran comprometidos.

SocPrime

Todavía no está todo claro, la investigación está en curso, pero ya se considera que se utilizó una cadena de Zero Days para desplegar el troyano personalizado. Se han hallado similitudes con la forma de actuar de Lazarus Group, un grupo vinculado al gobierno de Corea del Norte.

¿El objetivo?

Por si no se te ha ocurrido ya, se piensa que (como parece obvio que es el único escenario posible) los atacantes querían utilizar las relaciones con expertos en ciberseguridad y su posterior intromisión en el equipo, para obtener información de valor.

El hecho de haber contado con información fresca sobre nuevas vulnerabilidades clasificadas e investigaciones en curso, les habría otorgado una ventaja clave al realizar ciberataques de alto valor estratégico (APT o Amenaza Persistente Avanzada).

Detectar el ataque

Este ataque lleva en curso ya varios meses y aún no ha sido abortado, así que hayq que tener en cuenta ciertas medidas. Primero, todo profesional que haya entrado en conatacto con ellos debería reportarlo y aportar inteligencia.

Segundo, para mejorar la resistencia contra la intrusión, dejo a continuación un enlace de SOC Prime con información que pemite detectar este patrón de ataque. Contiene firmas para los siguientes sistemas:

  • SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
  • EDR: Carbon Black, Microsoft Defender ATP

Fuentes: SocPrime, Google TAG, SecurityAffairs

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: