Hackers norcoreanos utilizaron software espía ‘Torisma’ en ataques basados en ofertas de trabajo

Una campaña de ciberespionaje dirigida a los sectores aeroespacial y de defensa para instalar implantes de recopilación de datos en las máquinas de las víctimas con fines de vigilancia y exfiltración de datos puede haber sido más sofisticada de lo que se pensaba anteriormente.

Los ataques, dirigidos a direcciones IP que pertenecen a proveedores de servicios de internet (ISPs) en Australia, Israel, Rusia, y los contratistas de defensa con sede en Rusia y la India, involucrados previamente desconocido spyware herramienta llamada Torisma sigilosamente vigilar a sus víctimas para la continuación de la explotación.

Seguimiento bajo el nombre clave de «Operación Estrella polar» por los investigadores de McAfee, los resultados iniciales en la campaña en julio reveló el uso de sitios de medios sociales, spear-phishing, y como arma documentos con falsas ofertas de trabajo para engañar a los empleados que trabajan en el sector de la defensa para hacerse un hueco en sus organizaciones en la red.

Los ataques han sido atribuidos a la infraestructura y TTPs (Técnicas, Tácticas y Procedimientos) previamente asociados con la Oculta Cobra — un término general usado por el gobierno de estados unidos para describir todos los de corea del Norte patrocinado por el estado de hacking grupos.

El desarrollo continúa con la tendencia de Corea del Norte, un sancionados país, aprovechando su arsenal de amenaza actores para apoyar y financiar su programa de armas nucleares por perpetrar ataques maliciosos en defensa y aeroespacial contratistas.

Mientras que el análisis inicial sugiere que los implantes se pretende recopilar básica de información de la víctima con el fin de evaluar su valor, el más reciente en la investigación de la Operación de la Estrella del Norte exhibe un «grado de innovación técnica» está diseñado para permanecer oculto en los sistemas infectados.

No sólo la campaña de uso legítimo trabajo de reclutamiento de contenido popular de defensa de los estados unidos contratista de sitios web para atraer a los dirigidos a las víctimas en la apertura maliciosos, phishing archivos adjuntos de correo electrónico, los agresores se ve comprometida y se utiliza genuino sitios web en los estados unidos y de Italia — una casa de subastas, una impresión de la empresa, y una empresa de formación — a la sede de su comando y control (C2) de las capacidades.

«El uso de estos dominios para llevar a cabo C2 operaciones probable que les permitió sortear algunas de las organizaciones de las medidas de seguridad debido a que la mayoría de las organizaciones no bloquear sitios web de confianza,» McAfee investigadores Christiaan Beek y Ryan Sherstibitoff dijo.

Lo que es más, la primera fase del implante incrustado en los documentos de Word iría a evaluar a la víctima de datos del sistema (fecha, Dirección IP, User-Agent, etc.) por la verificación cruzada con una lista predeterminada de direcciones IP de destino para instalar un segundo implante llamado Torisma, a la vez que se minimiza el riesgo de detección y descubrimiento.

Esta supervisión especializada implante se utiliza para ejecutar personalizado shellcode, además de la vigilancia activa para que se agreguen nuevas unidades para el sistema, así como las conexiones de escritorio remoto.

«Esta campaña fue muy interesante, en la que había una lista de objetivos de interés, y que la lista fue verificada antes de que se tomó la decisión de enviar a un segundo implante, ya sea de 32 o 64 bits, para más y en profundidad de monitoreo», dijeron los investigadores.

«El progreso de los implantes enviado por el C2 fue supervisado y escrito en un archivo de registro que le dio el adversario una visión general de que las víctimas fueron correctamente infiltrado y podría ser monitoreados más.»

Fuente: thehackernews

Comments are closed.