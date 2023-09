By

Os actores de ameazas asociados con Corea do Norte estiveron utilizando un erro de día cero en software non revelado para infiltrarse na comunidade de ciberseguridade. O Grupo de Análise de Ameazas (TAG) de Google descubriu este ataque en curso, no que o adversario crea contas falsas en plataformas de redes sociais como X e Mastodon para establecer relacións e gañar confianza con posibles obxectivos.

Os atacantes participan en longas conversas con investigadores de seguridade e, finalmente, trasladan a comunicación a aplicacións de mensaxería cifrada como Signal, WhatsApp ou Wire. Mediante tácticas de enxeñería social, introducen un ficheiro malicioso que contén polo menos unha vulnerabilidade de día cero no software popular. Actualmente estase solucionando a vulnerabilidade.

A carga útil do ataque inclúe comprobacións de máquinas antivirtuais (VM) e recolle información da máquina infectada, incluída unha captura de pantalla, que despois se transmite ao servidor controlado polo atacante.

Esta non é a primeira vez que actores norcoreanos usan señuelos temáticos de colaboración para infectar ás vítimas. Nunha campaña anterior de npm, os atacantes empregaron persoas falsas para dirixirse ao sector da ciberseguridade. Convenceron aos obxectivos de clonar e executar contidos desde un repositorio de GitHub.

Unha investigación adicional de Google TAG tamén revelou unha ferramenta de Windows chamada "GetSymbol", desenvolvida polos atacantes e aloxada en GitHub, que servía como un potencial vector de infección secundaria.

Este ataque recente aliñase coas actividades doutros actores de ameaza norcoreanos. O Centro de Resposta ás Emerxencias de Seguridade (ASEC) de AhnLab descubriu que ScarCruft, un actor do estado-nación norcoreano, está a usar señuelos de ficheiros LNK en correos electrónicos de phishing para distribuír unha porta traseira capaz de recoller datos sensibles.

Tamén se observou que os actores de ameaza norcoreanos estiveron apuntando ao goberno ruso e á industria de defensa mentres prestaban apoio a Rusia no seu conflito con Ucraína. Ademais, Lazarus Group, outro actor norcoreano, estivo implicado no roubo de 41 millóns de dólares en moeda virtual dun casino en liña e unha plataforma de apostas.

Estas operacións cibernéticas levadas a cabo por actores de ameaza norcoreanos teñen como obxectivo recoller información sobre os adversarios percibidos, reunir información sobre as capacidades militares doutros países e acumular fondos de criptomoeda para o estado.

