Hackers Norcoreanos Se Apoyan en las Redes Sociales para Apuntar a Investigadores de Seguridad
Tabla de contenidos:
Analistas de amenazas de Google advierten sobre una campaña maliciosa actual dirigida a investigadores de vulnerabilidades y miembros del Red Team. Según se informa, un actor respaldado por la nación de Corea del Norte está detrás de esta operación, aprovechando nuevos métodos de ingeniería social para acercarse a practicantes de seguridad individuales a través de perfiles falsos en redes sociales.
Ataque Contra Investigadores de Seguridad
La visión general de la campaña del Grupo de Análisis de Amenazas de Google (TAG) estima que el colectivo respaldado por la nación de Corea del Norte creó un blog dedicado y una amplia red de cuentas falsas en redes sociales para infectar a entusiastas de la búsqueda de amenazas con malware. En particular, los actores de amenazas se hicieron pasar por investigadores que trabajaban en la detección de vulnerabilidades y el desarrollo de exploits para infiltrarse en la confianza y entablar una conversación en línea con sus supuestos colegas.
Los hackers decidieron cubrir tantos canales de comunicación como fuera posible, creando cuentas en Twitter, LinkedIn, Telegram, Keybase y Discord. Algunos de los intentos se llevaron a cabo incluso por correos electrónicos.
Una vez enganchados en el chat, los adversarios propusieron a los investigadores cooperar en el análisis de errores y les enviaron un proyecto de Visual Studiocontaminado con malware. Evidentemente, este proyecto tenía como objetivo la entrega de un troyano de puerta trasera, proporcionando a los hackers control sobre el PC objetivo. Además, se alentó a los usuarios a visitar un blog. El blog contenía artículos sobre análisis de exploits y vídeos ficticios sobre supuestas pruebas de concepto (PoC) de exploits en acción, promoviendo que los expertos objetivo comentaran sobre el contenido. Sin embargo, en caso de ser visitado, el sitio web dejaba caer un código malicioso en todas las instancias que accedieran a esta página.
Notablemente, incluso los usuarios de la última versión de Windows 10 ejecutando un navegador Chrome completamente parcheado encontraron sus dispositivos comprometidos. La investigación está en curso, pero los expertos consideran que los actores de amenazas utilizaron un conjunto de 0-days para Windows 10 y Chrome para infectar a las víctimas con sus troyanos personalizados. El software malicioso tiene mucho en común con las herramientas del infame grupo Lazarus trabajando en nombre del gobierno de Corea del Norte.
El objetivo principal de esta operación, lanzada hace varios meses, parece transparente. Los adversarios desarrollaron un nuevo anzuelo de ingeniería social para engañar a los expertos y enriquecer el arsenal malicioso con vulnerabilidades previamente no detectadas. Teniendo tales datos valiosos, los actores APT podrían alcanzar una ventaja sin precedentes al atacar objetivos de alto perfil, sin costos y tiempo invertido en el desarrollo de exploits.
Detección de Ataques
Este notorio ataque aún está bajo investigación, por lo que se insta a todos los analistas de seguridad afectados a compartir sus ideas y datos adicionales con la comunidad. Para mejorar la defensa contra la intrusión, el equipo de SOC Prime lanzó con urgencia contenido de detección, para que todos los investigadores que sospechen de posibles abusos puedan revisar sus sistemas en busca de compromisos. No dudes en descargar una regla Sigma correspondiente desde nuestra plataforma Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tácticas: Ejecución, Evasión de Defensa
Técnicas: Utilidades de Desarrollador de Confianza (T1127)
Además, ponte al día con las últimas contribuciones de nuestros desarrolladores de Threat Bounty dirigidas a la defensa proactiva contra esta amenaza:
Campaña de Corea del Norte Dirigida a Investigadores de Seguridad
Grupo Lazarus Dirigido a Investigadores de Seguridad (a través de sysmon)
Actualizar 01/29/2021: Microsoft lanzó un informe en profundidad que proporciona detalles técnicos adicionales sobre la cadena de ataque. Para abordar los nuevos desafíos revelados durante la investigación, nuestro ingeniero de búsqueda de amenazas y ponente en Conversaciones de Seguridad con SOC Prime, Adam Swan, desarrolló una regla de detecciónadicional. Hemos abierto esta regla SIGMA premium de forma gratuita, para que todos puedan buscar argumentos inusuales de rundll32 y detectar el dropper malicioso. ¡Mantente seguro!
LOLBAS rundll32 Sin Argumentos Esperados (a través de cmdline)
Sigue los próximos lanzamientos de Threat Detection Marketplace para no perderte elementos de contenido SOC relacionados con esta campaña engañosa. Todas las detecciones afiliadas se agregarán a esta publicación de blog.
Suscríbete a Threat Detection Marketplace gratuitamente y mantente al tanto del contenido SOC más relevante diseñado para resistir ciberataques en las primeras etapas de su ciclo de vida. ¿Entusiasta de participar en iniciativas globales de búsqueda de amenazas? Únete a nuestro Programa de Recompensa de Amenazas y recibe recompensas por tu contribución.
