Falsos reclutadores atraen a empleados del sector aeroespacial con desafíos de programación troyanizados

 (welivesecurity.com)
1 puntos por GN⁺ 2023-10-02 | 1 comentarios | Compartir por WhatsApp
  • Investigadores de ESET descubrieron un ataque de Lazarus dirigido a una empresa aeroespacial española, que desplegó una puerta trasera previamente desconocida llamada LightlessCan.
  • El grupo Lazarus obtuvo acceso inicial mediante una exitosa campaña de spear phishing haciéndose pasar por reclutadores de Meta.
  • La víctima fue contactada a través de mensajes de LinkedIn y recibió dos desafíos de programación, que descargó y ejecutó en un dispositivo de la empresa.
  • El ataque se reveló en colaboración con la empresa aeroespacial afectada.
  • Los atacantes usaron diversas herramientas, incluidos tres tipos de cargas útiles entregadas mediante DLL sideloading.
  • La carga útil más destacada, la puerta trasera LightlessCan, implementa técnicas para evadir la detección del software de monitoreo de seguridad en tiempo real y el análisis de expertos en ciberseguridad.
  • El grupo Lazarus, vinculado con Corea del Norte y activo desde 2009, es responsable de incidentes de alto perfil como el hackeo a Sony Pictures Entertainment y el brote de WannaCryptor.
  • El ataque en España fue atribuido a la Operation DreamJob del grupo Lazarus, orientada al ciberespionaje contra empresas de defensa y aeroespaciales.
  • El grupo Lazarus usa guardarraíles de ejecución para que las cargas útiles solo puedan descifrarse en la máquina de la víctima prevista.
  • LightlessCan, la nueva carga útil, es una herramienta compleja que muestra un alto nivel de sofisticación en su diseño y operación.
  • El artículo analiza sitios web legítimos comprometidos que alojan servidores de comando y control (C&C), incluidos Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com y Korea Telecom.
  • El artículo proporciona una lista detallada de las técnicas MITRE ATT&CK usadas por los atacantes.
  • Los atacantes usaron LinkedIn para identificar y contactar a empleados específicos, y crearon perfiles falsos en LinkedIn haciéndose pasar por headhunters de Meta.
  • El artículo consulta múltiples fuentes para ofrecer una visión integral de la campaña de ciberespionaje.
  • El artículo resulta especialmente relevante para lectores con conocimientos técnicos interesados en ciberseguridad, al ofrecer un análisis detallado de las técnicas usadas por los atacantes y de los sitios web relacionados.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-02
Opinión de Hacker News
  • Un artículo sobre un método de hackeo ingenioso en el que un atacante se hace pasar por reclutador y envía desafíos de programación troyanizados a empleados del sector aeroespacial.
  • El atacante obtuvo acceso mediante pruebas tipo leetcode para resolver en casa, que normalmente se pasan por alto en el sistema de alertas de Apple.
  • El atacante apuntó a personas que probablemente tenían acceso de alto nivel a información corporativa.
  • Algunas personas usan recursos de la empresa para buscar trabajo, y eso puede provocar violaciones de seguridad como esta.
  • El atacante envió a la víctima un archivo .exe, lo cual debió haber sido una clara señal de alerta de un posible ataque.
  • Algunas personas evitan publicar deliberadamente su currículum en internet para evitar incidentes de seguridad como este.
  • Hay críticas hacia quienes usan dispositivos de la empresa para asuntos personales, ya que eso aumenta el riesgo de brechas de seguridad.
  • Hay especulaciones sobre cómo el grupo de hackers norcoreano Lazarus/HIDDEN COBRA puede ser tan sofisticado a pesar del acceso limitado a internet en Corea del Norte.
  • Este incidente motiva a algunas personas a considerar sistemas operativos más seguros como qubes-os.
  • El atacante envió un problema de programación sencillo, cuando la mayoría de las empresas empiezan con problemas intermedios o difíciles, por lo que debió haber sido otra señal de alerta.
  • Hay anécdotas sobre incidentes similares, como laptops comprometidas al usar wifi gratis.