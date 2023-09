L'attori di minaccia assuciati cù a Corea di u Nordu anu utilizatu un bug zero-day in un software micca divulgatu per infiltrà a cumunità di cibersigurtà. U Gruppu d'Analisi di Minaccia di Google (TAG) hà scupertu questu attaccu in corso, in quale l'avversu crea cunti falsi nantu à e plataformi di e social media cum'è X è Mastodon per stabilisce relazioni è guadagnà fiducia cù i putenziali miri.

L'attaccanti si impegnanu in longu conversazioni cù i ricercatori di sicurezza è eventualmente trasladanu a cumunicazione à app di messageria criptata cum'è Signal, WhatsApp, o Wire. Per mezu di tattiche di l'ingegneria suciale, introducenu un schedariu maliziusu chì cuntene almenu una vulnerabilità zero-day in u software populari. A vulnerabilità hè attualmente trattata.

U payload di l'attaccu include cuntrolli anti-virtual machine (VM) è raccoglie l'infurmazioni da a macchina infettata, cumpresa una screenshot, chì hè poi trasmessa à u servitore cuntrullatu da l'attaccante.

Questa ùn hè micca a prima volta chì l'attori nordcoreani anu utilizatu lures tematichi di cullaburazione per infettà e vittime. In una precedente campagna npm, l'attaccanti anu impiegatu persone falsi per mira à u settore di a cibersigurtà. Hanu cunvintu i miri di clonà è eseguisce cuntenutu da un repository GitHub.

Ulteriori investigazioni da Google TAG anu revelatu ancu un strumentu Windows chjamatu "GetSymbol", sviluppatu da l'attaccanti è ospitatu in GitHub, chì hà servitu cum'è un potenziale vettore di infezione secundaria.

Stu attaccu recenti allinea cù l'attività di l'altri attori di minaccia di a Corea di u Nordu. U AhnLab Security Emergency Response Center (ASEC) hà scupertu chì ScarCruft, un attore di u statu di a nazione di a Corea di u Nordu, usa lures di file LNK in e-mail di phishing per distribuisce una backdoor capace di raccoglie dati sensibili.

Hè statu ancu nutatu chì l'attori di a minaccia di a Corea di u Nordu anu destinatu à u guvernu russu è l'industria di difesa mentre furnisce supportu à a Russia in u so cunflittu cù l'Ucraina. Inoltre, Lazarus Group, un altru attore nordcoreanu, hè statu implicatu in u furtu di $ 41 milioni in valuta virtuale da un casinò in linea è una piattaforma di scumessa.

Queste operazioni cibernetiche realizate da l'attori di a minaccia di a Corea di u Nordu miranu à cullà l'intelligenza nantu à l'avversarii percepiti, à cullà infurmazioni nantu à e capacità militari di l'altri paesi, è accumulà fondi di criptocurrency per u statu.

Fonti:

- Google Threat Analysis Group (TAG)

- AhnLab Security Emergency Response Center (ASEC)

- Microsoft