Una campaña de ciberespionaje dirigida a los sectores aeroespacial y de defensa para instalar implantes de recopilación de datos en las máquinas de las víctimas con fines de vigilancia y exfiltración de datos puede haber sido más sofisticada de lo que se pensaba anteriormente.

Los ataques, dirigidos a direcciones IP pertenecientes a proveedores de servicios de Internet (ISP) en Australia, Israel, Rusia y contratistas de defensa con sede en Rusia e India, involucraron una herramienta de spyware no descubierta previamente llamada torisma para monitorear sigilosamente a sus víctimas para una explotación continua.

Rastreados bajo el nombre en clave de «Operación North Star» por los investigadores de McAfee, los hallazgos iniciales de la campaña en julio revelaron el uso de sitios de redes sociales, phishing selectivo y documentos armados con ofertas de trabajo falsas para engañar a los empleados que trabajan en el sector de defensa para ganar un punto de apoyo en las redes de sus organizaciones.

Los ataques se han atribuido a infraestructura y TTP (técnicas, tácticas y procedimientos) previamente asociados con Hidden Cobra, un término general utilizado por el gobierno de EE. UU. para describir a todos los grupos de piratería patrocinados por el estado de Corea del Norte.

El desarrollo continúa la tendencia de Corea del Norte, un país fuertemente sancionado, que aprovecha su arsenal de actores de amenazas para apoyar y financiar su programa de armas nucleares al perpetrar ataques maliciosos contra los contratistas aeroespaciales y de defensa de EE. UU.

Si bien el análisis inicial sugirió que los implantes estaban destinados a recopilar información básica de la víctima para evaluar su valor, la última investigación sobre la Operación North Star muestra un «grado de innovación técnica» diseñado para permanecer oculto en los sistemas comprometidos.

La campaña no solo usó contenido legítimo de contratación de trabajo de sitios web populares de contratistas de defensa de EE. UU. para atraer a las víctimas específicas para que abrieran archivos adjuntos de correo electrónico de phishing selectivo malicioso, sino que los atacantes comprometieron y usaron sitios web genuinos en EE. UU. e Italia: una casa de subastas, una imprenta, y una empresa de capacitación en TI, para albergar sus capacidades de mando y control (C2).

«El uso de estos dominios para realizar operaciones C2 probablemente les permitió eludir las medidas de seguridad de algunas organizaciones porque la mayoría de las organizaciones no bloquean los sitios web confiables», dijeron los investigadores de McAfee Christiaan Beek y Ryan Sherstibitoff.

Además, el implante de primera etapa incrustado en los documentos de Word continuaría evaluando los datos del sistema de la víctima (fecha, dirección IP, agente de usuario, etc.) cotejándolos con una lista predeterminada de direcciones IP de destino para instalar un segundo implante llamado Torisma, mientras minimiza el riesgo de detección y descubrimiento.

Este implante de monitoreo especializado se utiliza para ejecutar shellcode personalizado, además de monitorear activamente las nuevas unidades agregadas al sistema, así como las conexiones de escritorio remoto.

«Esta campaña fue interesante porque había una lista particular de objetivos de interés, y esa lista se verificó antes de que se tomara la decisión de enviar un segundo implante, ya sea de 32 o 64 bits, para un seguimiento más profundo», dijeron los investigadores. dijo.

«El progreso de los implantes enviados por el C2 fue monitoreado y escrito en un archivo de registro que le dio al adversario una descripción general de qué víctimas se infiltraron con éxito y podrían monitorearse más».