Google Threat Analysis Group ha detallado una nueva campaña en la que los piratas informáticos respaldados por el estado de Corea del Norte se dirigen a los investigadores de seguridad a través de las redes sociales.. Mientras les piden que colaboren en la investigación de nuevos exploits, les envían software y URL que instalan puertas traseras en los sistemas, probablemente para robar su trabajo de investigación.
Investigadores de seguridad apuntados con una campaña de puerta trasera
Cazar al cazador es un juego diferente, que ahora es jugado por piratas informáticos respaldados por el estado de Corea del Norte. según lo detectado por el Grupo de Análisis de Amenazas de Google. Detallaron una campaña en la que los investigadores de seguridad están siendo atacados en varias plataformas de redes sociales como Keybase, LinkedIn, Twitter, E-mail, Discord y Telegram.
Nueva publicación de blog de TAG con detalles de una campaña de Corea del Norte dirigida a investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades.https://t.co/Ec2TaMMXeQ
¡Manténganse a salvo todos!
— Shane Huntley (@ShaneHuntley) 26 de enero de 2021
Los piratas informáticos aquí están creando perfiles falsos y enviando mensajes a los investigadores para que colaboren y, cuando se acordó, enviarían un proyecto de Visual Studio con una prueba de concepto de su trabajo, que también contiene una DLL maliciosa para establecer una puerta trasera. Los piratas informáticos aquí están creando publicaciones de blog y algunos PoC falsos de vulnerabilidades existentes para hacer creer a los objetivos.
Una vez abierto, verificará el tipo de sistema operativo y ejecutará la DLL maliciosa a través de rundll32.exe. Esto se inyecta en la memoria y se conectará al C2 del pirata informático para comunicarse y recibir comandos. Además, algunos han informado que sus sistemas fueron pirateados después de visitar un sitio web. blog.br0vvnn[.]yo (no abrir).
Cuentas de Twitter detectadas en esta campaña (br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 y z0x55g) tienen esta URL en su biografía y querían que los objetivos hicieran clic en ellos. Si bien aún no se conoce el propósito exacto de esta campaña, se supone que es por robar el trabajo de esos investigadores objetivo.
Además, se observa que todos los objetivos ejecutan la última versión de Windows 10 y Google Chrome, pero aún están infectados. esto dice que los piratas informáticos están utilizando exploits de día cero para infectar objetivos. Por lo tanto, Google aconsejó a los investigadores compartimentar sus trabajos de investigación y usar software de virtualización para instalar dicho software sospechoso.
