Un APT muy activo relacionado con el gobierno norcoreano ha estado utilizando recientemente software de código abierto como arma en campañas de ingeniería social dirigidas a empresas de todo el mundo desde junio de 2022.
Información e investigación
En esta ocasión, han sido los equipos de inteligencia de amenazas de Microsoft y el LinkedIn Threat Prevention and Defense los que han atribuido, con un grado de confianza bastante alto, estas intrusiones al APT Zinc, también conocido como Labyrinth Chollima. El objetivo de estos ataques eran empleados de organizaciones de distintos sectores, incluidos medios de comunicación, defensa e industria aeroespacial, tanto de los EE. UU., como del Reino Unido, la India y Rusia.
El equipo de Microsoft identificó entre otras herramientas usadas por este grupo criminal: PuTTY, KiTTY, TightVNC y Sumatra PDF Reader. CrowdStrike ha detectado actividad de este APT desde 2009, en operaciones destinadas a recopilar inteligencia política, militar y económica sobre los adversarios extranjeros de Corea del Norte. Además, los últimos hallazgos coinciden con un informe reciente de Mandiant, propiedad de Google, que descubrió el uso de PuTTY mediante el uso de señuelos compartidos con objetivos potenciales en LinkedIn como parte de una campaña denominada ‘Operation Dream Job‘.
Desarrollo del ataque
Para realizar el ataque, se establecía un contacto inicial con las personas implicadas haciéndose pasar por profesionales de reclutamiento para generar confianza. El siguiente paso consistía en iniciar una conversación por WhatsApp, para compartir un documento de señuelo personalizado o un software aparentemente benigno, activando de esta forma la secuencia de infección. Tras esta fase, el atacante se desplazaba lateralmente a través de la red y extraía la información de interés mediante el despliegue de una puerta trasera llamada ZetaNile (también conocida como BLINDINGCAN o AIRDRY).
Para tratar de evadir las defensas de seguridad y las correspondientes alertas, el archivo malicioso se descargaba solo cuando la víctima usaba los clientes SSH para conectarse a una dirección IP particular a través de las credenciales especificadas en un archivo de texto separado. Del mismo modo, los ataques que empleaban la versión troyana de TightVNC Viewer estaban configurados para instalar la puerta trasera solo cuando el usuario seleccionaba un host remoto particular entre las opciones proporcionadas.
Se sospecha que estos ataques están motivados por el ciberespionaje tradicional, el robo de datos personales y corporativos, las ganancias financieras y la destrucción de la red corporativa. También se han identificado bastantes características comunes a las actividades patrocinadas por los estados, como una mayor seguridad operativa, malware sofisticado que evoluciona con el tiempo y objetivos con motivaciones políticas.
Más información:
Deja una respuesta