Los investigadores de seguridad en Check Point han descubierto una campaña de espionaje cibernético realizada por el grupo Lazarus APT dirigido a objetivos rusos.
Los expertos en seguridad de Check Point han descubierto una campaña de ciberespionaje llevada a cabo por Lázaro dirigida a objetivos rusos.
Si la atribución es correcta, esta es la primera vez que los ciber espías norcoreanos atacan a entidades rusas.
"Por el primero horaestábamos observando lo que parecía ser un ataque coordinado de Corea del Norte contra entidades rusas. Si bien atribuir ataques a un determinado grupo de amenazas u otro es problemático, el análisis a continuación revela conexiones intrínsecas a las tácticas y técnicas.yherramientas utilizadas por el grupo de APT de Corea del Norte - Lazarus. ” lee el análisis publicado por CheckPoint.
Los expertos creen que los ataques fueron llevados a cabo por el actor de amenazas Bluenoroff , una división del temido grupo Lazarus APT, que estaba motivado financieramente.
Bluenoroff es uno de los grupos más activos en términos de ataques contra instituciones financieras y está tratando de infectar activamente a diferentes víctimas en varias regiones y empresas comerciales en Bangladesh en 2014 y al ahora famoso Ciber-Heist de $ 81million de la central de Bangladesh.bancosCuenta en el Banco de la Reserva Federal de Nueva York.
La carga útil final utilizada en esta campaña es la puerta trasera KEYMARBLE que se descarga de un servidor comprometido en forma de un archivo CAB disfrazado como una imagen JPEG. ( http: //37.238.135 [.] 70 / img / anan.jpg ).
El servidor comprometido utilizado por los actores de amenazas es un sitio web poco convincente para el "Departamento de Información" de la "South Oil Company". El servidor está alojado por EarthLink Ltd. Communications & Internet Services y está ubicado en Iraq.
La cadena de infección utilizada en esta campaña comprende tres pasos principales:
El primero es un archivo ZIP adjunto que contiene un PDF de señuelo benigno y un documento de Word con armas que contiene macros maliciosas. Uno de los documentos de señuelo observados en esta campaña contiene un NDA para StarForce Technologies, una empresa con sede en Rusia que proporciona soluciones de protección contra copia.
Las macros en el documento de Word descargan un script VBS desde un Drobox URL y ejecutar un script VBS.
El VBS vale descarga y ejecuta un archivo CAB desde un servidor comprometido, extrae la carga útil y la ejecuta.
Lázaro se dirige a Rusia
En algún momento durante la campaña, los atacantes cambiaron de táctica y comenzaron a saltar la segunda etapa utilizando macros de Word que descargan y ejecutan la puerta trasera directamente.
¿Por qué debería Corea del Norte espiar a las entidades rusas?: Es difícil decirlo, considerando la buena relación entre los dos países, de todos modos, no podemos excluir que las falsas banderas de un usuario actor tercero se disfrazen.
Fecha actualización el 2021-02-21. Fecha publicación el 2019-02-21. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: securityaffairs- Como obtener la animacion de arranque de Google Pixel
- Bethesda ban Fallout 76 jugador por tener demasiada municion
- Como administrar los botones de accion rapida en Windows 10
- Apex Legends nuevo record mundial para las muertes en solitario
- Como obtener la animacion de arranque de Google Pixel
- Encuentran una falla en la ejecucion remota de codigo en WordPress 5.0.0
- Fallo en la web de IRCTC permite a los hackers acceder a toda su informacion privada
- Apex Legends trae solos y duos LTE y kits de salto
- Como cambiar entre cuentas de Instagram
- Vulnerabilidad de seguridad en los administradores de passwords para Windows 10
- GitHub anuncia mayores recompensas para los investigadores de seguridad
- Microsoft arregla todos los problemas de las actualizaciones de Windows 10
- Apple elimina la caracteristica de iPhone de Firma en iOS 13
- Microsoft lanza la actualizacion acumulativa de Windows 10 KB4487029
- Update de Windows 10 KB4487021
- Tercera version beta de iOS 12.2 macOS 10.14.4 watchOS 5.2 y tvOS 12.2
- Malware convierte el cajero automatico en una maquina tragamonedas
- Path of Exile viene el proximo mes de marzo para PS4
- Huawei niega compartir informacion con el gobierno chino
- Evento de investigacion de Pokemon Go Clamperl
- Record mundial de eliminatorias en duos contra escuadrones
- Apex legends como acabar con el terrible Mozambique
- Apex Legends how to get the rewards of Twitch Prime
- Microsoft reveals that Russian hackers attack European think tanks
- Microsoft reveals new Russian cyber attacks to political organizations of the EU
- Tips and trivia about Apex Legends that maybe you did not know
- Las cajas de botin regresan a Call of Duty Black Ops 4
- Como proteger sus discos con passwords de BIOS
- Android Pie llega al telefono Razer 2
- Lista completa de las fugas de Apex Legends
- KDE Plasma 5.15 con mas de 35 mejoras