Los piratas informáticos de Corea del Norte apuntaron a empresas de seguridad

En su primera edición del nuevo informe Threat Horizons, Google, entre otras ciberamenazas detectadas, mencionó a los piratas informáticos norcoreanos patrocinados por el estado que emplearon una pequeña táctica sencilla pretendiendo ser reclutadores de Samsung. Los actores de amenazas hicieron ofertas de trabajo falsas a los empleados de las empresas de seguridad de Corea del Sur que venden software anti-malware.

Esos correos electrónicos falsos, además del texto del mensaje en sí, contenían un archivo PDF adjunto.. Sin embargo, los piratas informáticos deformaron los archivos PDF para que no se abrieran en un lector de PDF estándar.. En caso de que la víctima potencial se queje de que el archivo no se abre, los piratas informáticos también les proporcionarían una aplicación supuestamente "Secure PDF Reader". El enlace redirigió a los desprevenidos a un archivo., versión modificada de PDFTron. Los piratas informáticos modificaron específicamente este lector de PDF para instalar un troyano de puerta trasera en las computadoras de la víctima..

Nombre en clave "Zinc", el mismo grupo realizó ataques anteriores a investigadores de seguridad

El Grupo de Análisis de Amenazas de Google cree que es el mismo grupo de piratas informáticos que antes se dirigió a diferentes investigadores de seguridad principalmente en Twitter y otras redes sociales tarde. 2020 y a lo largo 2021. Identificados por Google con el nombre en clave "Zinc", sorprendieron bastante a los especialistas en ciberseguridad con sus tácticas.. Según el mismo informe, no es la primera vez que los actores de amenazas utilizan un lector de pdf con formato incorrecto.. El año pasado, los piratas informáticos intentaron utilizar la versión alterada de SumatraPDF para descifrar y soltar un implante.. También agregaron PE legítimos que estaban incrustados dentro del propio espectador. Los especialistas en seguridad cibernética señalan que recientemente vieron que otros grupos de amenazas utilizaban una técnica similar para entregar un visor de PDF malicioso para ver archivos PDF con formato incorrecto..

El informe se basa en los datos de inteligencia sobre amenazas del Threat Analysis Group., Inteligencia de amenazas de Google Cloud para Chronicle, Confianza y seguridad, y otros equipos internos. Google planea los otros informes futuros de inteligencia de amenazas que cubrirán el seguimiento de tendencias, escaneo del horizonte de amenazas y anuncios de alerta temprana sobre amenazas emergentes que requieren una acción inmediata.

Los piratas informáticos de Corea del Norte intentaron apuntar a las empresas de seguridad de Corea del Sur
The New York Times escribió una vez un artículo interesante sobre el poder cibernético de Corea del Norte

Además del grupo de hackers norcoreanos, la primera edición de Horizontes de amenaza también informa sobre los signos de actividad de BlackMatter, estafadores que usan el nuevo TTP para abusar de los recursos de la nube y del grupo de amenazas ruso APT28 Fancy Bear lanzan una campaña de phishing en Gmail. El informe mencionó el hecho detectado de instancias de Google Cloud comprometidas que los actores de amenazas utilizaron para la minería de criptomonedas., también. Para cada caso, TAG proporcionó posibles soluciones de mitigación de riesgos para los clientes de Google..

La primera edición de Threat Horizons de Google cubre una cantidad significativa de datos

Para cada vulnerabilidad explotada, Threat Horizons proporciona un porcentaje de instancias que son las siguientes:

  • Credenciales filtradas (4%);
  • Configuración incorrecta de la instancia en la nube o en software de terceros (12%);
  • Otros problemas no especificados (12%);
  • Vulnerabilidad en software de terceros en la instancia de la nube que fue explotada (26%);
  • Débil o no contraseña para cuenta de usuario o sin autenticación para API.
  • En la mayoría de los casos, los actores de amenazas intentaron bombear tráfico a Youtube y obtener ganancias de la minería de criptomonedas. Para las acciones resultantes después del compromiso, el porcentaje es el siguiente:

  • Enviar spam (2%);
  • Lanzar bot DDoS (2%);
  • Alojar contenido no autorizado en Internet (4%);
  • Host de malware (6%);
  • Lanzar ataques contra otros objetivos en Internet (8%);
  • Realizar escaneo de puertos de otros objetivos en Internet (10%);
  • Realizar minería de criptomonedas (86%).
  • TAG también señaló que los totales no suman 100% ya que algunas instancias comprometidas se utilizaron para realizar múltiples actividades maliciosas.

    Andrew Nail

    Periodista de ciberseguridad de Montreal, Canadá. Estudió ciencias de la comunicación en la Universite de Montreal.. No estaba seguro de si un trabajo de periodista es lo que quiero hacer en mi vida., pero en conjunto con las ciencias técnicas, es exactamente lo que me gusta hacer. Mi trabajo es captar las tendencias más actuales en el mundo de la ciberseguridad y ayudar a las personas a lidiar con el malware que tienen en sus PC..

    Deja una respuesta

    Botón volver arriba