Corea del Norte apunta a los investigadores de seguridad
Los actores de amenazas respaldados por el gobierno están utilizando exploits de día cero para infectar a los investigadores de seguridad y filtrar información crítica sobre vulnerabilidades.
La industria cree que una campaña de actores respaldados por el Gobierno de Corea del Norte está utilizando exploits de día cero para atacar a las organizaciones que trabajan en investigación de seguridad y desarrollo de vulnerabilidades. El grupo de análisis de amenazas de Google asegura que ha estado rastreando la campaña desde enero de 2021 y ha encontrado recientemente un nuevo ataque. “Somos conscientes de que al menos se ha usado un exploit de día cero para apuntar a los investigadores de seguridad en las últimas semanas”, dice en un comunicado. “La vulnerabilidad ha sido reportada al proveedor afectado y está en proceso de ser parcheada”.
La tecnológica también ha publicado una notificación temprana para advertir a los posibles afectados de sus hallazgos iniciales. Los ciberdelincuentes utilizaron redes sociales como X (antes Twitter) para establecer una relación con sus objetivos. “En una ocasión mantuvieron una conversación de meses, intentando colaborar con un investigador en temas de interés mutuo. Después del contacto inicial, se mudaron a una aplicación de mensajería cifrada”.
Una vez hecho esto, el grupo envió un archivo malicioso que incluía al menos un día cero en un paquete de software ampliamente utilizado que Google se abstiene de nombrar en la notificación. Una vez que la intrusión tuvo éxito, el shellcode realizó una serie de comprobaciones de máquinas antivirtuales para enviar la información recopilada y las capturas de pantalla a un dominio C2 controlado por los atacantes.
Además de los exploits de día cero, los actores de amenazas también plantan una herramienta independiente de Windows que desarrollaron para descargar símbolos de depuración y metadatos de programas críticos de servidores de Microsoft, Mozilla, Google y Citrix.
“Esta herramienta parece ser de utilidad para descargar rápida y fácilmente información de símbolos de varias fuentes diferentes. El código fuente de esta herramienta se publicó por primera vez en GitHub el 30 de septiembre de 2022, con varias actualizaciones lanzadas desde entonces”.
Los servidores de símbolos proporcionan información adicional sobre un binario que puede ser útil al depurar problemas de software o al realizar una investigación de vulnerabilidades. También tienen capacidad de descargar y ejecutar código arbitrario desde un dominio controlado por el atacante.
