Un grupo de actores de amenazas norcoreanos respaldado por el gobierno de dicho país se dirige a investigadores de seguridad. Estos se enfocan en la vulnerabilidad y explotan el desarrollo a través de las redes sociales.
Según un informe de Threat Analysis Group de Google, un grupo de ciberatacantes norcoreanos utiliza las redes sociales para atacar a los investigadores de seguridad e infectar sus computadoras con un malware de puerta trasera personalizado.
Crean perfiles y blogs de Twitter para construir una personalidad falsa como investigador de seguridad. Posteriormente, las utilizan para contactar a investigadores de seguridad a través de Twitter, LinkedIn, Telegram, Discord, Keybase y correo electrónico.
Además, los piratas informáticos escriben artículos que analizan las vulnerabilidades existentes o crean videos que muestran PoC que supuestamente desarrollaron.
En un caso puntual, los actores de amenazas norcoreanos fueron llamados para un video PoC falso. Inmediatamente comenzaron a crear cuentas de títeres de Twitter para refutar las afirmaciones de que el PoC es falso.
Después de establecer contacto con un investigador de seguridad, les preguntan si les gustaría colaborar en la investigación de vulnerabilidades o el desarrollo de exploits. Posteriormente, envían un proyecto de Visual Studio al investigador que contenía su exploit PoC, así como una DLL oculta maliciosa llamada ‘vcxproj.suo’.
Una vez que el investigador intenta construir el exploit PoC, un evento previo a la compilación ejecutaría un comando de PowerShell que verificaba si el usuario está ejecutando versiones de 64 bits de Windows 10, Windows Server 2019 y Windows Server 2016. Si las comprobaciones pasan, el comando de PowerShell ejecutará la DLL maliciosa a través de rundll32.exe.
Google mencionó que esta DLL es una puerta trasera personalizada inyectada en la memoria y volverá a llamar a un servidor de comando y control para que se ejecuten los comandos.
Algunos investigadores también se infectaron simplemente visitando un artículo de explotación en el sitio blog.br0vvnn [.]. Utilizaron dispositivos Windows 10 completamente parcheados con la última versión de Google Chrome. Esto indica que los actores de amenaza estaban usando vulnerabilidades de día cero para infectar a sus visitantes.
Si bien no se ha establecido el objetivo final de estos ataques, es probable que robe vulnerabilidades de seguridad no reveladas y exploits basados en los usuarios objetivo.
Google mencionó que las cuentas de Twitter utilizadas en esta campaña de piratería son br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 y z0x55g.
Por otro lado, diversos investigadores de seguridad que fueron objetivo de esta campaña han comenzado a compartir sus experiencias.
Google ofrece algunos consejos para aquellos a quienes les preocupa que este grupo de piratas informáticos los tengan en la mira de ataque. Se le recomienda que compartimente sus actividades de investigación utilizando máquinas físicas o virtuales separadas para la navegación web general, interactuando con otros en la comunidad de investigación, aceptando archivos de terceros y su propia investigación de seguridad.
Fuente: Bleeping Computer
Para más información ingresar aquí.
Comentarios