ClickCease Exploits de día cero: Los investigadores en ciberseguridad, atacados

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Exploits de día cero: Los investigadores en ciberseguridad, atacados

por Wajahat Raja

20 de septiembre de 2023 - Equipo de expertos TuxCare

Actores de amenazas vinculados a Corea del Norte han atacado a expertos en ciberseguridad en las últimas semanas, causando exploits de día cero. Estos atacantes se infiltran en las redes de los investigadores aprovechando una vulnerabilidad de día cero en un software no liberado. El Grupo de Análisis de Amenazas (TAG) de Google descubrió estos ilícitosarrojando luz sobre las estrategias de los adversarios.

 

El enfoque engañoso: Generar confianza en las redes sociales

 

Los actores de la amenaza norcoreana han ideado una técnica engañosa. Para establecer contactos con posibles objetivos, crean identidades falsas en destacadas plataformas de redes sociales como X (antes Twitter) y Mastodon. Estos impostores mantienen extensas conversaciones mientras fingen estar interesados en temas de seguridad colaborativa. Cuando establecen contacto en las redes sociales, pasan a herramientas de mensajería segura como Signal, WhatsApp o Wire.

Los ataques de hackers a investigadores se han vuelto mucho más fáciles con la ingeniería social. De este modo, los atacantes se ganan la confianza de los investigadores en ciberseguridad. Al final transmiten un archivo malicioso que contiene explotación de errores de día cero de un paquete de software de uso común. Es vital mencionar que el software dañado está siendo remediado actualmente.

Medidas contra la carga útil avanzada y contra las máquinas virtuales

 

Tras la ejecución de la carga maliciosa, realiza una serie de pruebas para descubrir máquinas virtuales (VM). La información recopilada, incluida una captura de pantalla, se envía posteriormente a un sitio controlado por los atacantes. Esta innovadora estrategia trata de evitar la detección al tiempo que mejora las capacidades de los atacantes.

 

Una cuenta suspendida en X que lleva activa al menos desde octubre de 2022 sugiere que los atacantes fueron persistentes. Incluso han Incluso han publicado una prueba de concepto (PoC) de código exploit para vulnerabilidades críticas de escalada de privilegios en el Kernel de Windowscomo CVE-2021-34514 y CVE-2022-21881.

 

Un patrón recurrente: Señuelos relacionados con la colaboración

 

No es la primera vez que actores norcoreanos inician ciberataques a expertos en seguridad. GitHub reveló una campaña que empleaba identidades falsas dirigidas al sector de la ciberseguridad en julio de 2023. Los atacantes inducían a las víctimas a colaborar en repositorios de GitHub antes de convencerlas de que clonaran y ejecutaran código malicioso.

 

Google TAG también descubrió un programa independiente de Windows llamado "GetSymbol" que los atacantes crearon y publicaron en GitHub. Aunque originalmente estaba pensado para obtener símbolos de depuración de fuentes de confianza, también puede descargar y ejecutar código arbitrario desde un dominio de comando y control (C2). Debido a su compleja estrategia, es un formidable vector de infección secundario.

 

Un panorama de amenazas más completo

 

El hallazgo coincide con los descubrimientos del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC), que reveló que ScarCruft, a de Corea del Norte, que utiliza señuelos de archivos LNK en correos electrónicos de phishing.. Estos señuelos contienen una puerta trasera capaz de extraer datos confidenciales y ejecutar comandos peligrosos.

Según descubrimientos recientes de Microsoft, varios actores de amenazas norcoreanos están apuntando al gobierno ruso y al sector de defensaposiblemente para recabar información, al tiempo que ayudan a Rusia en su enfrentamiento con Ucrania. Esta amplia gama de actividades pone de manifiesto la adaptabilidad y la naturaleza variada de las ciberamenazas norcoreanas. También pone de relieve la necesidad de medidas de seguridad de día cero.

 

Implicaciones internacionales de los exploits de día cero

 

Además de la recopilación de información y el espionaje informático, el Lazarus Group, otra entidad norcoreana, fue acusada por el FBI de cobrar 41 millones de dólares en moneda virtual de Stake.com, un casino en línea y sitio de apuestas. Este revelación de vulnerabilidades subraya los objetivos más amplios de ciberamenazas norcoreanasque incluyen la recaudación de fondos de criptomoneda para el Estado.

 

Conclusión

 

Por último, los actores de amenazas norcoreanos utilizan una variedad de enfoques para lograr sus objetivos, que van desde vulnerabilidad de día cero a los ataques de phishing. Para proteger los datos de investigación, los investigadores en ciberseguridad deben permanecer atentos y utilizar medidas de seguridad estrictas. Estos amenazas a la ciberseguridad ponen de relieve la necesidad crítica de cooperación internacional e intercambio de información para mitigar el impacto de las operaciones hostiles.

Las fuentes de este artículo incluyen artículos en The Hacker News y BleepingComputer.

Resumen
Exploits de día cero: Los investigadores en ciberseguridad, atacados
Nombre del artículo
Exploits de día cero: Los investigadores en ciberseguridad, atacados
Descripción
Manténgase informado sobre los últimos exploits de día cero. Aprenda cómo los hackers aprovechan los fallos de día cero y proteja sus datos de las ciberamenazas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.