La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA, por sus siglas en inglés) ha publicado un nuevo informe que advierte a las empresas sobre un nuevo malware en estado salvaje que, según los informes, los piratas informáticos de Corea del Norte están utilizando para espiar a los empleados clave de las empresas contratistas del gobierno.
Apodado ‘CEGADORA‘el troyano de acceso remoto avanzado actúa como puerta trasera cuando se instala en equipos comprometidos.
Según el FBI y CISA, los piratas informáticos patrocinados por el estado de Corea del Norte Lazarus Group, también conocidos como Hidden Cobra, están difundiendo BLINDINGCAN para «recopilar inteligencia sobre tecnologías militares y energéticas clave».
Para lograr esto, los atacantes primero identifican objetivos de alto valor, realizan una investigación exhaustiva en sus redes sociales y profesionales y luego se hacen pasar por reclutadores para enviar documentos maliciosos cargados con malware, disfrazados de anuncios y ofertas de trabajo.
Sin embargo, tales estafas laborales y estrategias de ingeniería social no son nuevas y recientemente se detectaron en otra campaña similar de espionaje cibernético por parte de piratas informáticos norcoreanos contra el sector de defensa de Israel.
“Construyeron perfiles falsos en Linkedin, una red social que se usa principalmente para buscar trabajo en el sector de alta tecnología”, dijo el Ministerio de Relaciones Exteriores de Israel.
“Los atacantes se hicieron pasar por gerentes, directores ejecutivos y altos funcionarios de los departamentos de recursos humanos, así como representantes de empresas internacionales, y contactaron a empleados de las principales industrias de defensa en Israel, con el objetivo de desarrollar discusiones y tentarlos con diversas oportunidades laborales.
«En el proceso de envío de las ofertas de trabajo, los atacantes intentaron comprometer las computadoras de estos empleados, infiltrarse en sus redes y recopilar información de seguridad confidencial. Los atacantes también intentaron usar los sitios web oficiales de varias empresas para piratear sus sistemas. «
El informe de CISA dice que los atacantes están controlando de forma remota el malware BLINDINGCAN a través de la infraestructura comprometida de varios países, lo que les permite:
- Recupere información sobre todos los discos instalados, incluido el tipo de disco y la cantidad de espacio libre en el disco
- Crear, iniciar y finalizar un nuevo proceso y su subproceso principal
- Buscar, leer, escribir, mover y ejecutar archivos
- Obtener y modificar marcas de tiempo de archivos o directorios
- Cambiar el directorio actual de un proceso o archivo
- Elimine el malware y los artefactos asociados con el malware del sistema infectado.
Las empresas de ciberseguridad Trend Micro y ClearSky también documentaron esta campaña en un informe detallado que explica:
«Después de la infección, los atacantes recopilaron inteligencia sobre la actividad de la empresa y también sobre sus asuntos financieros, probablemente para tratar de robarle algo de dinero. El doble escenario de espionaje y robo de dinero es exclusivo de Corea del Norte, que opera unidades de inteligencia que robar tanto información como dinero para su país».
Según este informe, los atacantes norcoreanos no solo contactaron a sus objetivos a través del correo electrónico, sino que también realizaron entrevistas en línea cara a cara, principalmente a través de Skype.
«Mantener contacto directo, más allá de enviar correos electrónicos de phishing, es relativamente raro en los grupos de espionaje de los estados-nación (APT); sin embargo, como se mostrará en este informe, Lazarus ha adoptado esta táctica para asegurar el éxito de sus ataques», señalan los investigadores. dijo.
CISA ha publicado información técnica para ayudar en la detección y atribución, además de recomendar una variedad de procedimientos preventivos para reducir significativamente la posibilidad de este tipo de ataque.
