La campaña de Corea del Norte dirigida a investigadores de seguridad

 (blog.google)
2 puntos por GN⁺ 2023-09-08 | 1 comentarios | Compartir por WhatsApp
  • Threat Analysis Group (TAG) de Google reportó una campaña en curso de actores respaldados por el gobierno de Corea del Norte dirigida a investigadores de seguridad.
  • Esta campaña se dio a conocer por primera vez en enero de 2021 y apunta a investigadores que trabajan en investigación y desarrollo de vulnerabilidades, utilizando vulnerabilidades 0-day.
  • TAG ha rastreado e interrumpido estas campañas durante más de dos años, además de encontrar 0-days para proteger a los usuarios en línea.
  • Recientemente, TAG identificó una nueva campaña de los mismos actores basándose en similitudes con campañas anteriores.
  • Al menos un 0-day activo fue utilizado contra investigadores de seguridad durante las últimas semanas. Esta vulnerabilidad fue reportada al proveedor afectado y actualmente está siendo parcheada.
  • Los actores de amenaza norcoreanos usan sitios de redes sociales para construir una relación con sus objetivos, a menudo manteniendo conversaciones largas e intentando colaborar en intereses mutuos.
  • Después de establecer una relación con el investigador objetivo, los actores de amenaza envían archivos maliciosos en paquetes de software populares que contienen al menos un 0-day.
  • Tras una explotación exitosa, el shellcode realiza verificaciones de máquina virtual y envía la información recopilada y capturas de pantalla a dominios de comando y control controlados por el atacante.
  • Además de atacar a investigadores mediante vulnerabilidades 0-day, los actores de amenaza también desarrollaron una herramienta independiente para Windows que parece útil para descargar información de símbolos, pero que también puede descargar y ejecutar código arbitrario desde un dominio controlado por el atacante.
  • TAG recomienda tomar medidas preventivas para verificar si el sistema está en un estado limpio conocido en caso de haber descargado o ejecutado esta herramienta, lo que requerirá reinstalar el sistema operativo.
  • TAG utiliza los resultados de su investigación para mejorar la protección y seguridad de los productos de Google, y agrega todos los sitios web y dominios identificados a Safe Browsing para evitar que los usuarios sigan siendo explotados.
  • TAG envía alertas sobre atacantes respaldados por gobiernos a usuarios de Gmail y Workspace, y recomienda a los posibles objetivos activar la Protección Mejorada de Safe Browsing en Chrome y mantener todos sus dispositivos actualizados.
  • TAG está comprometido a compartir sus hallazgos con la comunidad de seguridad para elevar la conciencia y mejorar la comprensión de las estrategias y técnicas, lo que contribuye a reforzar la protección de los usuarios en toda la industria.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-08
Opinión de Hacker News
  • La herramienta maliciosa getsymbol en GitHub recibió 214 estrellas, pero no tiene un banner de advertencia. Se sugiere que GitHub agregue advertencias para otro software con backdoors conocidos como este.
  • Se planteó la duda de cómo los norcoreanos, a pesar de tener acceso sin restricciones a internet y comprender inglés, evitan exponerse a medios que contradicen los medios estatales de su país.
  • Se expresaron preocupaciones sobre la legitimidad de sitios populares de descarga como ffmpeg windows binaries y sobre la posibilidad de que actores estatales aprovechen descargas alojadas de manera no oficial.
  • El uso de 0days contra investigadores de seguridad por parte de Corea del Norte parece ser una prueba, con el beneficio potencial de obtener más 0days de los investigadores objetivo.
  • Se especuló que las recientes actualizaciones de seguridad de macOS están relacionadas con la vulnerabilidad que se estaba discutiendo.
  • Se puso en duda que un investigador de seguridad fuera a ejecutar un binario de Windows recibido de una fuente desconocida, y se sugirió que sería más probable que inspeccionara el binario en un entorno más seguro.
  • Se planteó la pregunta de cómo se determinó que la amenaza provenía de Corea del Norte.
  • Se afirma que todos los sitios web y dominios confirmados se agregan a Safe Browsing, aunque el sitio web dbgsymbol.com no aparece marcado con una advertencia en Safe Browsing de Brave Browser.
  • Un exoficial de inteligencia advirtió no subestimar la capacidad técnica de Corea del Norte ni su habilidad para reclutar personas inteligentes y trabajadoras.
  • Se sugiere evitar poner en LinkedIn que tu cargo es de seguridad si trabajas en un rol de seguridad.