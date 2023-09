By

O Grupo de Análise de Ameazas (TAG) de Google revelou detalles sobre unha campaña cibernética orixinaria de Corea do Norte que se dirixe específicamente a investigadores de seguridade. A campaña, que se controla desde xaneiro de 2021, implica múltiples ataques e a explotación de polo menos unha vulnerabilidade de día cero. Aínda que Google non revelou os detalles da vulnerabilidade e o software afectado, a compañía informou do problema ao vendedor, que está a traballar actualmente nun parche.

Nestes ataques, os actores da ameaza establecen comunicación cos investigadores de seguridade a través de plataformas de redes sociais antes de pasar ás aplicacións de mensaxería cifrada. Unha vez que se establece a confianza, os atacantes distribúen ficheiros maliciosos que conteñen vulnerabilidades de día cero en paquetes de software moi utilizados. Cando se explota con éxito, o código malicioso realiza comprobacións de máquinas antivirtuais e transmite os datos recollidos a un dominio de comando e control controlado polos atacantes.

Segundo John Gallagher, vicepresidente de Viakoo Labs en Viakoo, é un reto supervisar e investigar en profundidade todas as interaccións no mundo da investigación de seguridade, que a miúdo depende das relacións formadas a través de Internet. Aconséllalles ás organizacións que adopten unha política de "sen excepcións" ao manexar software ou ligazóns de fóra da súa organización.

Ademais da explotación de día cero, os actores da ameaza tamén desenvolveron unha ferramenta de Windows que descarga símbolos de depuración dos principais servidores de símbolos, incluídos os de Microsoft, Google, Mozilla e Citrix. Esta ferramenta aparentemente lexítima pode executar código arbitrario desde dominios controlados por atacantes, o que pode comprometer os sistemas das vítimas.

O obxectivo de investigadores de seguridade por parte de actores estatais como Corea do Norte e Rusia fíxose máis frecuente e sofisticado ao longo dos anos. Estas operacións teñen como obxectivo non só roubar información, senón tamén obter información sobre os mecanismos de defensa, perfeccionar as tácticas e eludir a detección futura.

Para mitigar estas ameazas, TAG aconsella ás persoas que puideron descargar ou executar a ferramenta que tomen precaucións, entre elas considerar a reinstalación do sistema.

Fonte: Google Threat Analysis Group (TAG)