Ataque a Corea del Norte: Los hackers utilizan el juego para obtener beneficios económicos
Según informes recientes de los medios de comunicación, varios actores de amenazas vinculados a Corea del Norte se han visto implicados en el uso de una conocida familia de ransomware llamada Play. Los informes afirman que el ataque norcoreano fue orquestado por motivos financieros. En este artículo, desvelaremos los detalles del ataque norcoreanodescubriremos el ciclo de vida del ataque, las herramientas y mucho más. Comencemos.
Ataque norcoreano Actor de la amenaza al descubierto
Antes de sumergirnos en los detalles del ataque norcoreanovale la pena mencionar que se observaron actividades relacionadas con él entre mayo y septiembre de 2024. Estas actividades se han atribuido al actor de la amenaza llamado Jumpy Pisces. El actor de la amenaza también recibe varios nombres, entre ellos:
- Andariel.
- APT45.
- DarkSeoul.
- Nickel Hyatt.
- Onyx Sleet (antes Plutonium).
- Operación Troya.
- Chollima silenciosa.
- Stonefly.
El actor de la amenaza detrás del ataque norcoreano fue identificado por la Unidad 42 de Palo Alto Network. Se cree que la entidad está patrocinada por Corea del Norte y asociada a la Oficina General de Reconocimiento del Ejército Popular de Corea.
El grupo ha participado en varias iniciativas en línea que incluyen el ciberespionaje, los delitos financieros y los ataques de ransomware. Las investigaciones iniciales han detallado un cambio en las tácticas del grupo dada la colaboración con el ransomware Play.
Vale la pena señalar que el cambio marca la primera vez que el grupo utiliza una infraestructura de ransomware existente. Durante el ataque, el grupo puede haber actuado como intermediario de acceso inicial (IAB) o como afiliado de Play.
Además, este cambio táctico pone de relieve la mayor implicación del grupo en el panorama más amplio de las amenazas de ransomware. Jumpy Pisces también ha sido acusado por el Departamento de Justicia de Estados Unidos por desarrollar un malware personalizado llamado Maui.
Descubrimiento inicial del ciberataque Jumpy Piscis
El descubrimiento inicial del ataque Jumpy Pisces se remonta a septiembre de 2024, sin embargo, el ransomware Play fue reportado por primera vez a mediados de 2022. A principios de septiembre, la Unidad 42 estaba atendiendo una solicitud de respuesta a incidentes para una organización que se creía afectada por el ransomware Play.
Cabe destacar que se cree que Play es el grupo cerrado que opera la amenaza desarrollando y ejecutando los ataques. Mientras que los hallazgos sugieren que el grupo ha hecho la transición a un modelo operativo de ransomware como servicio (RaaS). Sin embargo, el grupo de hackers ha negado tal transición en su sitio de filtraciones.
Como parte de la investigación del ataque, se identificó que Jumpy Pisces obtuvo acceso inicial a través de una cuenta de usuario comprometida en mayo de 2024.
Herramientas de ataque detalladas
Después de adquirir el acceso, se realizaron varios movimientos laterales que permitieron al actor de la amenaza mantener la persistencia. Además, el grupo de hackers también distribuyó una herramienta de código abierto, Sliver, y su propio malware personalizado, llamado DTrack, a otros hosts. Para esta distribución se utilizó el protocolo Server Message Block (SMB).
Los expertos en ciberseguridad que investigaron el ataque norcoreanodescubrieron varias herramientas que se utilizaron hasta el despliegue del ransomware Play. Estas herramientas incluyen:
- Sliver - Sliver es una versión personalizada de la herramienta de red-teaming de código abierto utilizada para iniciativas C2. En ataques recientes, la herramienta se ha observado como una alternativa para Cobalt Strike. Esta baliza personalizada a la dirección IP "172.96.137[.]224." Tanto esta dirección IP como su dominio, "americajobmail[.]site," han sido vinculados a Jumpy Pisces.
- DTrack - DTrack es un infostealer que se ha utilizado anteriormente en incidentes de delincuencia en línea atribuidos a Corea del Norte. El ataque norcoreano infostealer inicialmente recopila datos, luego los comprime y después los disfraza como un archivo GIF.
- Mimikatz - Mimikatz es una versión personalizada de la herramienta pública de volcado de credenciales que utiliza "C:\windows\temp\KB0722.log" como su registro de volcado.
Aparte de estas herramientas, el actor de la amenaza también utilizó una herramienta específica desarrollada para crear una cuenta de usuario privilegiada en los dispositivos comprometidos. Para ello, la herramienta utilizaba el protocolo de escritorio remoto (RDP).
Además, también se utilizó un binario troyanizado para robar el historial del navegador, los rellenos automáticos y los datos de las tarjetas de crédito de Chrome, Edge y Brave. La información desechada por el binario se guardaba en la carpeta "%TEMP%" directorio. Los expertos de Unit 42 ofrecieron más información declaró que:
"Todos los archivos mencionados fueron firmados utilizando un par de certificados inválidos que señalamos en la sección Indicadores de Compromiso de este artículo. Estos certificados, previamente vinculados a Jumpy Pisces, permitían que los archivos se hicieran pasar por otros creados por entidades legítimas."
Play Secuencia y ciclo de vida del ransomware
Una vez distribuidas, las herramientas remotas se comunicaron con su servidor de mando y control (C2) hasta principios de septiembre, lo que permitió desplegar el ransomware Play. El grupo tuvo acceso a la red desde mayo de 2024 hasta septiembre de 2024 y a continuación se detalla la secuencia de acontecimientos.
Del 28 al 31 de mayo
Durante este tiempo se detectaron los primeros indicios de actividades maliciosas. Para lanzar el ataque norcoreanolos hackers primero comprometieron una cuenta de usuario para obtener el acceso inicial. Después, realizaron un volcado parcial del registro para acceder a las credenciales y empezaron a propagar Sliver y DTrack a varios hosts.
Del 5 al 25 de junio
Tras el despliegue de las herramientas maliciosas, los hackers iniciaron el balizamiento Sliver C2. La herramienta se distribuía a otros hosts mientras continuaba el proceso de beaconing. Una vez desplegadas con éxito, las herramientas se utilizaron para lanzar navegadores de Internet con directores de datos de usuario personalizados y se desactivaron las funciones de sandboxing.
Del 3 al 30 de agosto
En esta fase del ataque norcoreanolos hackers inician el desarrollo de la persistencia y los protocolos de descubrimiento interno. Esto incluyó la creación de un servicio malicioso, la recopilación de datos de configuración de red, la realización de sesiones RDP y el balizamiento C2.
Del 2 al 4 de septiembre
En la cuarta fase del ataque norcoreanose obtuvo acceso a las credenciales. Después de eso, los actores de la amenaza iniciaron la extracción de los archivos comprimidos de Windows Security Account Manager (SAM), Security y System registry.
5 de septiembre
Esta etapa del ataque norcoreano es cuando comenzó la actividad previa al ransomware. Para preparar el sistema comprometido para el despliegue del ransomware, se pusieron en marcha varias iniciativas maliciosas. Entre ellas:
- Uso del Administrador de tareas para el volcado de LSASS.
- Abusando de los Tokens de Acceso de Windows.
- Uso de PsExec para movimientos laterales.
- Escalando a SISTEMA.
- Utilización de sensores EDR.
Una vez que estas actividades se completaron con éxito, múltiples hosts de esa red que habían sido comprometidos fueron cifrados por el ransomware Play.
Medidas paliativas para garantizar la protección
Antes de sumergirnos en las medidas de mitigación, vale la pena señalar que la cuenta comprometida utilizada en este ataque norcoreano para adquirir el acceso inicial era la misma que la utilizada en anteriores despliegues de ransomware. Palo Alto Network ha declarado que estos hallazgos se han compartido con los miembros de la Cyber Threat Alliance (CTA).
Es probable que estos expertos utilicen estos conocimientos para desplegar medidas de protección que garanticen la seguridad de sus clientes. Comentando la prevalencia de la amenaza, los expertos de Unit 42 han declarado que:
"Esperamos que sus ataques se dirijan cada vez más a una amplia gama de víctimas a nivel mundial. Los defensores de la red deben ver la actividad de Jumpy Pisces como un precursor potencial de ataques de ransomware, no sólo de espionaje, lo que subraya la necesidad de una mayor vigilancia."
Por ahora, se ha instado a los usuarios a ponerse en contacto con el Equipo de Respuesta a Incidentes de la Unidad 42 si creen que han sido víctimas del ataque norcoreano.
Conclusión
El ataque norcoreano orquestado por Jumpy Pisces pone de manifiesto un peligroso cambio en las tácticas del ransomware, con hackers respaldados por Corea del Norte cuyo objetivo es obtener beneficios económicos. Utilizando herramientas como Sliver, DTrack y el ransomware Play, estos ciberdelincuentes ejecutaron un sofisticado ataque multifase durante meses.
A medida que el ransomware sigue evolucionando, es fundamental que las organizaciones se mantengan alerta y apliquen medidas de seguridad sólidas. medidas de seguridad sólidasy vigilar los indicadores de compromiso vinculados a los actores de amenazas en línea.
Las fuentes de este artículo incluyen artículos en The Hacker News y Unidad 42.