Microsoft cree que los piratas informáticos vinculados a la RPDC utilizaron Chrome Zero-Day
Hacia fines de enero de 2021, el Grupo de Análisis de Amenazas de Google reveló que un grupo de piratas informáticos norcoreanos está apuntando a investigadores de seguridad en línea, específicamente buscando a aquellos que trabajan en vulnerabilidades y exploits.
Ahora, Microsoft ha confirmado que también estaba rastreando al equipo de piratería de la RPDC, revelado en un informe publicado recientemente.
Microsoft Tracking Grupo de piratería de Corea del Norte
En un informe publicado en el blog de seguridad de Microsoft , el equipo de inteligencia de amenazas de Microsoft detalla su conocimiento del grupo de piratería vinculado a la RPDC. Microsoft rastrea al grupo de piratas informáticos como "ZINC", mientras que otros investigadores de seguridad están optando por el nombre más conocido de "Lazarus".
Tanto los informes de Google como los de Microsoft explican que la campaña en curso utiliza las redes sociales para iniciar conversaciones normales con los investigadores de seguridad antes de enviarles archivos que contienen una puerta trasera.
El equipo de piratería tiene varias cuentas de Twitter (junto con LinkedIn, Telegram, Keybase, Discord y otras plataformas), que han estado publicando lentamente noticias de seguridad legítimas, construyendo una reputación como fuente confiable. Después de un período, las cuentas controladas por actores se comunicaban con los investigadores de seguridad y les hacían preguntas específicas sobre su investigación.
Si el investigador de seguridad respondiera, el grupo de piratería intentaría mover la conversación a una plataforma diferente, como Discord o correos electrónicos.
Una vez que se establece el nuevo método de comunicación, el actor de amenazas enviaría un proyecto de Visual Studio comprometido con la esperanza de que el investigador de seguridad ejecute el código sin analizar el contenido.
El equipo de piratería de Corea del Norte había hecho todo lo posible para disfrazar el archivo malicioso dentro del proyecto de Visual Studio, cambiando un archivo de base de datos estándar por una DLL maliciosa, junto con otros métodos de ofuscación.
Según el informe de Google sobre la campaña, la puerta trasera maliciosa no es el único método de ataque.
Además de apuntar a los usuarios a través de la ingeniería social, también hemos observado varios casos en los que los investigadores se han visto comprometidos después de visitar el blog de los actores. En cada uno de estos casos, los investigadores siguieron un enlace en Twitter a un artículo alojado en blog.br0vvnn [.] Io y, poco después, se instaló un servicio malicioso en el sistema del investigador y se iniciaría una puerta trasera en la memoria. baliza a un servidor de comando y control propiedad del actor.
Microsoft cree que "un exploit del navegador Chrome probablemente se alojó en el blog", aunque ninguno de los equipos de investigación aún lo ha verificado. Además, tanto Microsoft como Google creen que se utilizó un exploit de día cero para completar este vector de ataque.
Dirigirse a los investigadores de seguridad
La amenaza inmediata de este ataque es para los investigadores de seguridad. La campaña se ha dirigido específicamente a investigadores de seguridad involucrados en la detección de amenazas y la investigación de vulnerabilidades.
No voy a mentir, el hecho de que fui objetivo es una dulce validación de mi habilidad;) https://t.co/1WuIQ7we4R
– Aliz (@ AlizTheHax0r) 26 de enero de 2021
Como vemos a menudo con ataques altamente dirigidos de esta naturaleza, la amenaza para el público en general sigue siendo baja. Sin embargo, siempre es una buena idea mantener su navegador y programas antivirus actualizados, así como no hacer clic y seguir enlaces aleatorios en las redes sociales.