Investigadores vinculan ataques cibernéticos ‘Sharpshooter’ a piratas informáticos norcoreanos

malware de piratería de corea del norte

Los investigadores de seguridad finalmente, con «alta confianza», vincularon una campaña de espionaje cibernético global previamente descubierta que apuntaba a infraestructura crítica en todo el mundo con un grupo de piratería APT de Corea del Norte.

Gracias a la nueva evidencia recopilada por los investigadores después de analizar un servidor de comando y control (C2) involucrado en la campaña de espionaje e incautado por las fuerzas del orden.

Doblado Operación francotiradorla campaña de ciberespionaje dirigida a organizaciones gubernamentales, de defensa, nucleares, energéticas y financieras de todo el mundo fue descubierta inicialmente en diciembre de 2018 por investigadores de seguridad de McAfee.

En ese momento, incluso después de encontrar numerosos vínculos técnicos con el grupo de piratería Lazarus de Corea del Norte, los investigadores no pudieron atribuir de inmediato la campaña debido a la posibilidad de señales falsas.

Los investigadores analizaron el servidor de comandos de Sharpshooter

Ahora, según un comunicado de prensa compartido con The Hacker News, un análisis reciente del código incautado y del servidor de comando y control (C2) permitió a los investigadores comprender el funcionamiento interno de la campaña global de ciberespionaje, y concluyó que el estado de Corea del Norte El grupo de hackers patrocinado está detrás de la Operación Sharpshooter.

Se cree que Lazarus Group, también conocido como Hidden Cobra y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y, según se informa, estuvo asociado con el ataque global de ransomware WannaCry de 2017, el hackeo de SWIFT Banking de 2016, así como el hackeo de Sony Pictures de 2014. .

El análisis también reveló que la campaña mundial de espionaje comenzó en septiembre de 2017, un año antes de lo que se pensaba y aún continúa.

Si bien los ataques anteriores se dirigieron principalmente a los sectores de telecomunicaciones, gubernamentales y financieros en los Estados Unidos, Suiza e Israel, y otros países de habla inglesa, la evidencia recientemente descubierta sugiere que Sharpshooter ha ampliado su enfoque a la infraestructura crítica, con los ataques más recientes dirigidos a Alemania, Turquía, Reino Unido y Estados Unidos.

Operation Sharpshooter: campaña global de ciberespionaje

La campaña de espionaje global se propaga mediante el envío de documentos maliciosos que contienen una macro armada a los objetivos a través de Dropbox. Una vez abierta y descargada, la macro aprovecha el shellcode incrustado para inyectar el descargador Sharpshooter en la memoria de Microsoft Word.

El espionaje cibernético ataca a los piratas informáticos de Corea del Norte

Para una mayor explotación, este implante en memoria luego descarga de forma encubierta la segunda etapa Software malicioso del sol nacienteque utiliza el código fuente de la puerta trasera del Grupo Lazarus Troyano Duuzerel malware circuló por primera vez en 2015 dirigido a organizaciones en Corea del Sur.

El malware Rising Sun luego realiza un reconocimiento en la red de la víctima mediante la recopilación y el cifrado de datos, incluido el nombre de la computadora de los dispositivos de la víctima, los datos de la dirección IP, la información del sistema nativo y más.

«El acceso al código del servidor de comando y control del adversario es una oportunidad única. Estos sistemas brindan información sobre el funcionamiento interno de la infraestructura de ciberataques, generalmente son incautados por las fuerzas del orden y rara vez están disponibles para los investigadores del sector privado», dijo Christiaan. Beek, ingeniero principal sénior y científico principal de McAfee.

«La información obtenida a través del acceso a este código es indispensable en el esfuerzo por comprender y combatir las campañas de ataques cibernéticos más prominentes y sofisticadas de la actualidad».

Además, el análisis del servidor C2 y los registros de archivos también revelaron una conexión africana, ya que los investigadores descubrieron un bloque de red de direcciones IP que se originaban en una ciudad ubicada en la nación africana de Namibia.

“Esto llevó a los analistas de McAfee Advanced Threat Research a sospechar que los actores detrás de Sharpshooter podrían haber probado sus implantes y otras técnicas en esta área del mundo antes de lanzar su campaña de ataques más amplia”, dicen los investigadores.

La infraestructura C2 utilizada por los atacantes tiene un backend central escrito en Hypertext Preprocessor (PHP) y Active Server Pages (ASP), que «parece ser personalizado y único para el grupo» y ha sido parte de las operaciones de Lazarus desde 2017.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática