http://thehackernews.com/

Hackers norcoreanos apuntan a expertos en seguridad para robar investigaciones no divulgadas

Google reveló el lunes detalles sobre una campaña en curso llevada a cabo por un actor de amenazas respaldado por el gobierno de Corea del Norte que se ha dirigido a investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades.

Threat Analysis Group (TAG) del gigante de Internet dijo que el adversario creó un blog de investigación y múltiples perfiles en varias plataformas de redes sociales como Twitter, Twitter, LinkedIn, Telegram, Discord y Keybase en un intento por comunicarse con los investigadores y generar confianza.

El objetivo, al parecer, es robar exploits desarrollados por los investigadores para posibles vulnerabilidades no reveladas, lo que les permite organizar más ataques contra objetivos vulnerables de su elección.

«Su blog contiene reseñas y análisis de vulnerabilidades que se han divulgado públicamente, incluidas publicaciones de ‘invitados’ de investigadores de seguridad legítimos involuntarios, probablemente en un intento de generar credibilidad adicional con otros investigadores de seguridad». dijo El investigador de TAG Adam Weidemann.

En un caso, el actor usó Twitter para compartir un video de YouTube de lo que decía ser un exploit para una falla de Windows Defender recientemente parcheada (CVE-2021-1647), cuando en realidad el exploit resultó ser falso.

Hackers norcoreanos apuntan a expertos en seguridad para robar investigaciones no divulgadas - Disyuntivo.com

También se dice que los piratas informáticos norcoreanos utilizaron un «método novedoso de ingeniería social» para atacar a los investigadores de seguridad al preguntarles si les gustaría colaborar juntos en la investigación de vulnerabilidades y luego proporcionar al individuo objetivo un proyecto de Visual Studio.

Este proyecto de Visual Studio, además de contener el código fuente para explotar la vulnerabilidad, incluía un malware personalizado que establece comunicación con un servidor de comando y control remoto (C2) para ejecutar comandos arbitrarios en el sistema comprometido.

Además, TAG dijo que observó varios casos en los que los investigadores se infectaron después de visitar el blog de investigación, luego de lo cual se instaló un servicio malicioso en la máquina y una puerta trasera en la memoria comenzaría a enviar señales a un servidor C2.

Hackers norcoreanos apuntan a expertos en seguridad para robar investigaciones no divulgadas - Disyuntivo.com

Con los sistemas de las víctimas ejecutando versiones completamente parcheadas y actualizadas de Windows 10 y el navegador web Chrome, el mecanismo exacto de compromiso sigue siendo desconocido. Pero se sospecha que el actor de la amenaza probablemente aprovechó las vulnerabilidades de día cero en Windows 10 y Chrome para implementar el malware.

«Si le preocupa que esté siendo atacado, le recomendamos que compartimente sus actividades de investigación utilizando máquinas físicas o virtuales separadas para la navegación web general, interactuando con otros en la comunidad de investigación, aceptando archivos de terceros y su propia investigación de seguridad». Dijo Weidemann.

Escrito por Òscar Lombio

Siempre a la última. Cualquier noticia que esté relacionada con gadgets, tecnología o grandes corporaciones, ahí está el, al pie del cañón para informarnos

Loading…

0
Palfinger
Palfinger, el fabricante líder de grúas, golpeado en un ciberataque mundial
falla de seguridad de tiktok
El error de TikTok podría haber expuesto los datos de perfil y los números de teléfono de los usuarios