Hacia fines de enero de 2021, el Grupo de análisis de amenazas de Google reveló que un grupo de piratas informáticos norcoreanos está dirigido a investigadores de seguridad en línea, específicamente a aquellos que trabajan en vulnerabilidades y hazañas.
Ahora, Microsoft ha confirmado que también estaba rastreando al equipo de piratería de la RPDC, revelado en un informe publicado recientemente.
Microsoft Tracking Grupo de piratería de Corea del Norte
En un informe publicado en Seguridad de Microsoft blog, el Equipo de Inteligencia de Amenazas de Microsoft detalla su conocimiento del grupo de piratería vinculado a la RPDC. Microsoft rastrea al grupo de piratas informáticos como "ZINC", mientras que otros investigadores de seguridad están optando por el nombre más conocido de "Lazarus".
Relacionado: Las bandas organizadas de delitos informáticos más notorias
El ciberdelito es una amenaza que nos desafía a todos. La prevención requiere educación, por lo que es hora de aprender sobre los peores grupos de delitos cibernéticos.
Tanto los informes de Google como los de Microsoft explican que la campaña en curso utiliza las redes sociales para iniciar conversaciones normales con los investigadores de seguridad antes de enviarles archivos que contienen una puerta trasera.
El equipo de piratería tiene varias cuentas de Twitter (junto con LinkedIn, Telegram, Keybase, Discord y otras plataformas), que han estado publicando lentamente noticias de seguridad legítimas, construyendo una reputación como un fuente. Después de un período, las cuentas controladas por actores se comunicaban con los investigadores de seguridad y les hacían preguntas específicas sobre su investigación.
Si el investigador de seguridad respondiera, el grupo de piratería intentaría mover la conversación a una plataforma diferente, como Discord o correos electrónicos.
Una vez que se establece el nuevo método de comunicación, el actor de amenazas enviaría un proyecto de Visual Studio comprometido con la esperanza de que el investigador de seguridad ejecute el código sin analizar el contenido.
Relacionado: ¿Qué es una puerta trasera y qué hace?
El equipo de piratería de Corea del Norte había hecho todo lo posible para disfrazar el archivo malicioso dentro de Visual Studio, cambiando un archivo de base de datos estándar por una DLL maliciosa, junto con otras ofuscaciones métodos.
De acuerdo con la Informe de Google en la campaña, la puerta trasera maliciosa no es el único método de ataque.
Además de apuntar a los usuarios a través de la ingeniería social, también hemos observado varios casos en los que los investigadores se han visto comprometidos después de visitar el blog de los actores. En cada uno de estos casos, los investigadores han seguido un enlace en Twitter a un artículo alojado en blog.br0vvnn [.] Io, y poco después, un Se instaló un servicio malicioso en el sistema del investigador y una puerta trasera en la memoria comenzaría a enviar señales a un comando y control propiedad del actor. servidor.
Microsoft cree que "un exploit del navegador Chrome probablemente se alojó en el blog", aunque ninguno de los equipos de investigación aún lo ha verificado. Además, tanto Microsoft como Google creen que se utilizó un exploit de día cero para completar este vector de ataque.
Dirigirse a los investigadores de seguridad
La amenaza inmediata de este ataque es para los investigadores de seguridad. La campaña se ha dirigido específicamente a los investigadores de seguridad involucrados en la detección de amenazas y la investigación de vulnerabilidades.
No voy a mentir, el hecho de que fui objetivo es una dulce validación de mi habilidad;) https://t.co/1WuIQ7we4R
- Aliz (@ AlizTheHax0r) 26 de enero de 2021
Como vemos a menudo con ataques altamente dirigidos de esta naturaleza, la amenaza para el público en general sigue siendo baja. Sin embargo, siempre es una buena idea mantener su navegador y programas antivirus actualizados, así como no hacer clic y seguir enlaces aleatorios en las redes sociales.
No todas las aplicaciones de seguridad y privacidad son iguales. Aquí hay cinco aplicaciones de seguridad y privacidad que debe desinstalar y con qué reemplazarlas.
- Seguridad
- Noticias tecnológicas
- Microsoft
- Puerta trasera
Gavin es el editor junior de Windows and Technology Explained, un colaborador habitual del Really Useful Podcast, y fue el editor del sitio hermano de MakeUseOf centrado en cripto, Blocks Decoded. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.
