in

Hackers norcoreanos encontrados detrás de una serie de campañas de robo de credenciales


Un actor de amenazas con vínculos con Corea del Norte se ha relacionado con una ola productiva de campañas de robo de credenciales dirigidas a la investigación, la educación, el gobierno, los medios de comunicación y otras organizaciones.

La firma de seguridad corporativa Proofpoint atribuyó las infiltraciones a un grupo que rastrea como TA406 y de la comunidad de inteligencia de amenazas más amplia apodada Kimsuky (Kaspersky), Velvet Chollima (CrowdStrike), Thallium (Microsoft), Black Banshee (PwC), ITG16 (IBM). ) y el Grupo Konni (Cisco Talos).

Expertos políticos, periodistas y organizaciones no gubernamentales (ONG) fueron atacados como parte de las campañas semanales de enero a junio de 2021, dijeron los investigadores de Proofpoint, Darien Huss y Selena Larson, en un informe técnico que detalla las tácticas, técnicas y procedimientos (TTP) del actor. descrito en detalle. Los ataques se extendieron por América del Norte, Rusia, China y Corea del Sur.

Kimsuky ha estado operativo desde 2012 y desde entonces se ha convertido en uno de los grupos más activos de Amenazas Persistentes Avanzadas (APT) conocidos por atacar el ciberespionaje, pero también para llevar a cabo ataques con el propósito de obtener ganancias financieras dirigidos a agencias gubernamentales, think tanks y recopilar personas identificadas como expertos en diversos campos e información sensible relacionada con la política exterior y cuestiones de seguridad nacional.

Copias de seguridad automáticas de GitHub

«Al igual que otros grupos de APT que forman un gran techo, Kimsuky contiene varios grupos: BabyShark, AppleSeed, Flower Power y Gold Dragon», declararon los investigadores de Kaspersky en su informe de tendencias de APT para el segundo trimestre de 2021 publicado el mes pasado. El subgrupo AppleSeed también se conoce como TA408.

El grupo también es conocido por capturar objetivos con esquemas de ingeniería social convincentes y ataques de abrevadero antes de enviarles cargas útiles infectadas con malware o engañarlos para que envíen credenciales confidenciales a sitios de phishing, dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitida por el estadounidense en una advertencia. aviso público en octubre de 2020.

A principios de este mes, los investigadores de Cisco Talos anunciaron una campaña de Kimsuky en curso desde junio de 2021 que encontró blogs maliciosos alojados en la plataforma Blogger de Google que se utilizan para apuntar a objetivos surcoreanos de alta calidad, incluidas agencias de investigación geopolítica, aérea y espacial, con el objetivo de crear un » conjunto de implantes en constante evolución derivados de la familia Gold Dragon / Brave Prince «, que actuarán como extractores de archivos, recolectores de información y credenciales para reconocimiento, espionaje y autenticación.

«Esta campaña comienza con documentos maliciosos de Microsoft Office (Maldocs) con macros que se entregan a las víctimas», explicaron los investigadores de Talos. «La cadena de infección hace que el malware llegue a los blogs maliciosos creados por los atacantes. Estos blogs permiten a los atacantes actualizar el contenido malicioso publicado en el blog en función de si la víctima tiene algún valor para el atacante».

Ahora, lo que parece ser una escalada adicional en los ataques, el actor de amenazas lanzó simultáneamente campañas de amenazas por correo electrónico casi semanales utilizando las identidades de expertos en políticas legítimas mientras cubría temas relacionados con la seguridad de las armas nucleares, la política y los asuntos exteriores de Corea, lo que en última instancia, apuntó a individuos. atraídos a abandonar sus credenciales corporativas a través de una URL engañosa incrustada en los mensajes que redirigían a las víctimas a páginas de recopilación de credenciales personalizadas.

Las campañas de phishing de Kimsuky tuvieron un cambio notable en marzo de 2021 cuando los correos electrónicos fueron más allá del robo de credenciales para convertirse en un medio para la propagación de malware, lo que coincidió con las pruebas de misiles de Corea del Norte, que se realizaron a finales de ese mes.

Prevenir filtraciones de datos

Los correos electrónicos contenían un enlace que enviaba al objetivo a un dominio controlado por un atacante en un intento de engañar a los objetivos para que descarguen un archivo comprimido que contiene un archivo binario que está orquestado para crear una tarea programada cada 15 minutos de ejecución para instalar malware adicional desde un control remoto. servidor. Sin embargo, el motivo final de los ataques sigue sin estar claro, ya que no se observaron cargas útiles de seguimiento.

Otro ataque notable en junio resultó en el uso de un descargador («FatBoy») que usa un cebo de archivos adjuntos HTML que luego se usó para recuperar un script de reconocimiento de siguiente nivel que puede recopilar «información extensa» sobre el dispositivo objetivo. Proofpoint dijo que ambas campañas mostraron una superposición con los ataques previamente identificados como llevados a cabo por el grupo Konni.

Otras herramientas notables en su arsenal de malware incluyen un registrador de teclas de Windows llamado YoreKey, una serie de aplicaciones de Android no autorizadas que atacan a los usuarios de criptomonedas en Corea del Sur, un servicio de presentación llamado Deioncube para descifrar archivos cifrados con el software de protección de código fuente de ionCube y una estafa de sextortion que solicitó el correo electrónico. destinatarios a transferir $ 500 en Bitcoin a una billetera válida afiliada a una ONG con sede en Corea del Sur.

«Se desconoce si la ONG se ha visto comprometida y el aviso de donación se publicó maliciosamente en su sitio web o si hay alguna otra explicación», dijeron los investigadores. «Para junio de 2021, la billetera Bitcoin asociada había recibido y enviado alrededor de 3.77 Bitcoin».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Genera archivos de registro falsos realistas para servidores web populares con escenarios de ataque personalizables

Los piratas informáticos de espionaje corporativo de RedCurl regresan con herramientas de piratería actualizadas