Exploits de día cero: Los investigadores en ciberseguridad, atacados
Actores de amenazas vinculados a Corea del Norte han atacado a expertos en ciberseguridad en las últimas semanas, causando exploits de día cero. Estos atacantes se infiltran en las redes de los investigadores aprovechando una vulnerabilidad de día cero en un software no liberado. El Grupo de Análisis de Amenazas (TAG) de Google descubrió estos ilícitosarrojando luz sobre las estrategias de los adversarios.
El enfoque engañoso: Generar confianza en las redes sociales
Los actores de la amenaza norcoreana han ideado una técnica engañosa. Para establecer contactos con posibles objetivos, crean identidades falsas en destacadas plataformas de redes sociales como X (antes Twitter) y Mastodon. Estos impostores mantienen extensas conversaciones mientras fingen estar interesados en temas de seguridad colaborativa. Cuando establecen contacto en las redes sociales, pasan a herramientas de mensajería segura como Signal, WhatsApp o Wire.
Los ataques de hackers a investigadores se han vuelto mucho más fáciles con la ingeniería social. De este modo, los atacantes se ganan la confianza de los investigadores en ciberseguridad. Al final transmiten un archivo malicioso que contiene explotación de errores de día cero de un paquete de software de uso común. Es vital mencionar que el software dañado está siendo remediado actualmente.
Medidas contra la carga útil avanzada y contra las máquinas virtuales
Tras la ejecución de la carga maliciosa, realiza una serie de pruebas para descubrir máquinas virtuales (VM). La información recopilada, incluida una captura de pantalla, se envía posteriormente a un sitio controlado por los atacantes. Esta innovadora estrategia trata de evitar la detección al tiempo que mejora las capacidades de los atacantes.
Una cuenta suspendida en X que lleva activa al menos desde octubre de 2022 sugiere que los atacantes fueron persistentes. Incluso han Incluso han publicado una prueba de concepto (PoC) de código exploit para vulnerabilidades críticas de escalada de privilegios en el Kernel de Windowscomo CVE-2021-34514 y CVE-2022-21881.
Un patrón recurrente: Señuelos relacionados con la colaboración
No es la primera vez que actores norcoreanos inician ciberataques a expertos en seguridad. GitHub reveló una campaña que empleaba identidades falsas dirigidas al sector de la ciberseguridad en julio de 2023. Los atacantes inducían a las víctimas a colaborar en repositorios de GitHub antes de convencerlas de que clonaran y ejecutaran código malicioso.
Google TAG también descubrió un programa independiente de Windows llamado "GetSymbol" que los atacantes crearon y publicaron en GitHub. Aunque originalmente estaba pensado para obtener símbolos de depuración de fuentes de confianza, también puede descargar y ejecutar código arbitrario desde un dominio de comando y control (C2). Debido a su compleja estrategia, es un formidable vector de infección secundario.
Un panorama de amenazas más completo
El hallazgo coincide con los descubrimientos del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC), que reveló que ScarCruft, a de Corea del Norte, que utiliza señuelos de archivos LNK en correos electrónicos de phishing.. Estos señuelos contienen una puerta trasera capaz de extraer datos confidenciales y ejecutar comandos peligrosos.
Según descubrimientos recientes de Microsoft, varios actores de amenazas norcoreanos están apuntando al gobierno ruso y al sector de defensaposiblemente para recabar información, al tiempo que ayudan a Rusia en su enfrentamiento con Ucrania. Esta amplia gama de actividades pone de manifiesto la adaptabilidad y la naturaleza variada de las ciberamenazas norcoreanas. También pone de relieve la necesidad de medidas de seguridad de día cero.
Implicaciones internacionales de los exploits de día cero
Además de la recopilación de información y el espionaje informático, el Lazarus Group, otra entidad norcoreana, fue acusada por el FBI de cobrar 41 millones de dólares en moneda virtual de Stake.com, un casino en línea y sitio de apuestas. Este revelación de vulnerabilidades subraya los objetivos más amplios de ciberamenazas norcoreanasque incluyen la recaudación de fondos de criptomoneda para el Estado.
Conclusión
Por último, los actores de amenazas norcoreanos utilizan una variedad de enfoques para lograr sus objetivos, que van desde vulnerabilidad de día cero a los ataques de phishing. Para proteger los datos de investigación, los investigadores en ciberseguridad deben permanecer atentos y utilizar medidas de seguridad estrictas. Estos amenazas a la ciberseguridad ponen de relieve la necesidad crítica de cooperación internacional e intercambio de información para mitigar el impacto de las operaciones hostiles.
Las fuentes de este artículo incluyen artículos en The Hacker News y BleepingComputer.