Sharpshooter: nueva operación APT de Corea del Norte
Un grupo de investigadores vincularon una campaña mundial de APT de espionaje dirigida a infraestructuras críticas de todo el mundo y a cargo de Corea del Norte. La Operación Sharpshooter [PDF] está dirigida a organizaciones gubernamentales, de defensa, nucleares, energéticas y financieras.
Descubierta inicialmente en diciembre de 2018 por investigadores de seguridad de McAfee, incluso después de encontrar numerosos enlaces técnicos al grupo Lazarus de Corea del Norte, los investigadores no pudieron atribuir esta campaña, debido a operaciones de falsas banderas.
Ahora, según un comunicado de prensa, y después de un análisis reciente del código y del servidor de comando y control (C2), permitió a los investigadores comprender el funcionamiento interno de la campaña de espionaje, concluyendo que el estado norcoreano está patrocinado la Operación Sharpshooter.
Se cree que el Grupo Lazarus, también conocido como Hidden Cobra y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y, según se informa, se asoció con el ataque global del ransomware WannaCry de 2017 y los ataques SWIFT Banking de 2016 y a Sony Pictures de 2014.
El análisis también reveló que la campaña de espionaje global comenzó en septiembre de 2017, un año antes de lo que se pensaba anteriormente y aún está en curso. Si bien los ataques anteriores se dirigieron principalmente a los sectores de telecomunicaciones, gobierno y finanzas en los Estados Unidos, Suiza e Israel, y otros países de habla inglesa, las pruebas recién descubiertas sugieren que Sharpshooter ha ampliado su enfoque a la infraestructura crítica, con los ataques más recientes dirigidos a Alemania, Turquía, el Reino Unido y los Estados Unidos.
La campaña se propaga al enviar documentos maliciosos alojados en Dropbox y que contienen una macro. Una vez abierto y descargado, la macro aprovecha el código de shell incorporado para inyectar un downloader de Sharpshooter en la memoria de Microsoft Word.
Para una mayor explotación, este implante en memoria luego descarga de manera encubierta el malware Rising Sun, que utiliza el código fuente del troyano Duuzer (también del Grupo Lazarus), el cual se distribuyó por primera vez en 2015 en organizaciones de Corea del Sur.
Rising Sun realiza el reconocimiento en la red de la víctima mediante la recopilación y el cifrado de datos, incluido el nombre de la computadora de los dispositivos de la víctima, los datos de la dirección IP, la información del sistema nativo y mucho más.
"El acceso al código del servidor de comando y control del adversario es una oportunidad rara. Estos sistemas proporcionan información sobre el funcionamiento interno de la infraestructura de ataques, generalmente son aprovechados por la policía y rara vez se ponen a disposición de investigadores del sector privado", dijo Christiaan. Beek, ingeniero principal principal de McAfee. "Los conocimientos adquiridos a través del acceso a este código son indispensables en el esfuerzo por comprender y combatir las campañas de ataques cibernéticos más prominentes y sofisticadas de la actualidad".
Además, el análisis del servidor C2 y los registros de archivos también reveló una conexión africana, ya que los investigadores descubrieron un bloque de red de direcciones IP originadas en una ciudad ubicada en la nación africana de Namibia. "Esto llevó a los analistas de McAfee Advanced Threat Research a sospechar que los actores detrás de Sharpshooter pueden haber probado sus implantes y otras técnicas en esta área del mundo antes de lanzar su campaña de ataques más amplia", dicen los investigadores.
La infraestructura C2 utilizada por los atacantes tiene un backend escrito en PHP y ASP, que "parece ser personalizado y único para el grupo y ya ha sido parte de las operaciones de Lazarus desde 2017".
Fuente: THN
Descubierta inicialmente en diciembre de 2018 por investigadores de seguridad de McAfee, incluso después de encontrar numerosos enlaces técnicos al grupo Lazarus de Corea del Norte, los investigadores no pudieron atribuir esta campaña, debido a operaciones de falsas banderas.
Ahora, según un comunicado de prensa, y después de un análisis reciente del código y del servidor de comando y control (C2), permitió a los investigadores comprender el funcionamiento interno de la campaña de espionaje, concluyendo que el estado norcoreano está patrocinado la Operación Sharpshooter.
Se cree que el Grupo Lazarus, también conocido como Hidden Cobra y Guardians of Peace, está respaldado por el gobierno de Corea del Norte y, según se informa, se asoció con el ataque global del ransomware WannaCry de 2017 y los ataques SWIFT Banking de 2016 y a Sony Pictures de 2014.
El análisis también reveló que la campaña de espionaje global comenzó en septiembre de 2017, un año antes de lo que se pensaba anteriormente y aún está en curso. Si bien los ataques anteriores se dirigieron principalmente a los sectores de telecomunicaciones, gobierno y finanzas en los Estados Unidos, Suiza e Israel, y otros países de habla inglesa, las pruebas recién descubiertas sugieren que Sharpshooter ha ampliado su enfoque a la infraestructura crítica, con los ataques más recientes dirigidos a Alemania, Turquía, el Reino Unido y los Estados Unidos.
La campaña se propaga al enviar documentos maliciosos alojados en Dropbox y que contienen una macro. Una vez abierto y descargado, la macro aprovecha el código de shell incorporado para inyectar un downloader de Sharpshooter en la memoria de Microsoft Word.
Rising Sun realiza el reconocimiento en la red de la víctima mediante la recopilación y el cifrado de datos, incluido el nombre de la computadora de los dispositivos de la víctima, los datos de la dirección IP, la información del sistema nativo y mucho más.
"El acceso al código del servidor de comando y control del adversario es una oportunidad rara. Estos sistemas proporcionan información sobre el funcionamiento interno de la infraestructura de ataques, generalmente son aprovechados por la policía y rara vez se ponen a disposición de investigadores del sector privado", dijo Christiaan. Beek, ingeniero principal principal de McAfee. "Los conocimientos adquiridos a través del acceso a este código son indispensables en el esfuerzo por comprender y combatir las campañas de ataques cibernéticos más prominentes y sofisticadas de la actualidad".
Además, el análisis del servidor C2 y los registros de archivos también reveló una conexión africana, ya que los investigadores descubrieron un bloque de red de direcciones IP originadas en una ciudad ubicada en la nación africana de Namibia. "Esto llevó a los analistas de McAfee Advanced Threat Research a sospechar que los actores detrás de Sharpshooter pueden haber probado sus implantes y otras técnicas en esta área del mundo antes de lanzar su campaña de ataques más amplia", dicen los investigadores.
La infraestructura C2 utilizada por los atacantes tiene un backend escrito en PHP y ASP, que "parece ser personalizado y único para el grupo y ya ha sido parte de las operaciones de Lazarus desde 2017".
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!