{"id":29937,"date":"2023-10-11T07:06:00","date_gmt":"2023-10-11T05:06:00","guid":{"rendered":"https:\/\/www.metafrase.com\/blog\/?p=29937"},"modified":"2023-09-11T17:14:05","modified_gmt":"2023-09-11T15:14:05","slug":"piratas-informaticos-norcoreanos","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/piratas-informaticos-norcoreanos\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos atacan de nuevo"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Los piratas inform\u00e1ticos norcoreanos aprovechan el error de d\u00eda cero para atacar a los investigadores de ciberseguridad<\/h2>\n\n\n\n<p><\/p>\n\n\n\n<p>Los actores de ciberamenazas asociados con Corea del Norte contin\u00faan&nbsp;<a href=\"https:\/\/thehackernews.com\/2021\/11\/north-korean-hackers-target.html\" target=\"_blank\" rel=\"noreferrer noopener\">atacando<\/a>&nbsp;a&nbsp;la&nbsp;comunidad de ciberseguridad utilizando un error de d\u00eda cero en software no especificado durante las \u00faltimas semanas para infiltrarse en sus m\u00e1quinas.<\/p>\n\n\n\n<p>Los hallazgos provienen del Grupo de An\u00e1lisis de Amenazas (TAG) de <a href=\"https:\/\/www.metafrase.com\/fabricantes\/googlecloud\/google-workspace-partner\/\">Google<\/a>, que encontr\u00f3 que el adversario estaba configurando cuentas falsas en plataformas de redes sociales como&nbsp;<a href=\"https:\/\/twitter.com\/paul091_\" target=\"_blank\" rel=\"noreferrer noopener\">X<\/a>&nbsp;(anteriormente Twitter) y&nbsp;Mastodon&nbsp;para forjar relaciones con objetivos potenciales y generar confianza.<\/p>\n\n\n\n<p>\u00abEn un caso, mantuvieron una conversaci\u00f3n de meses, intentando colaborar con un investigador de seguridad en temas de inter\u00e9s mutuo\u00bb,&nbsp;dijeron&nbsp;los investigadores de seguridad Clement Lecigne y Maddie Stone .&nbsp;\u00abDespu\u00e9s del contacto inicial a trav\u00e9s de X, pasaron a una aplicaci\u00f3n de mensajer\u00eda cifrada como Signal, WhatsApp o Wire\u00bb.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhSJxhS5cEzmn59ofexmBK4Ps92IoL1nV10Amv0cQKenHJlVEW895el25UtTHMd0j5-QdSIornbg52UZQRoYX_qaY81Zi-1niMPOEKAkYeob1F_FRRABO-XWq5T82yQ4WWkJFIwEM9onVNFrV4Tg8-Hzybx3WMdY_i1gNdcOOk3QabUQCUFi-kgkAEqaNC8\/s728-e365\/hacker.png\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Error de d\u00eda cero\" title=\"Error de d\u00eda cero\" class=\"lazyload\" data-src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhSJxhS5cEzmn59ofexmBK4Ps92IoL1nV10Amv0cQKenHJlVEW895el25UtTHMd0j5-QdSIornbg52UZQRoYX_qaY81Zi-1niMPOEKAkYeob1F_FRRABO-XWq5T82yQ4WWkJFIwEM9onVNFrV4Tg8-Hzybx3WMdY_i1gNdcOOk3QabUQCUFi-kgkAEqaNC8\/s728-e3650\/hacker.png\"><\/a><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">La ingenier\u00eda social aplicada al ejercicio del mal<\/h2>\n\n\n\n<p>El ejercicio de ingenier\u00eda social de los piratas inform\u00e1ticos norcoreanos finalmente allan\u00f3 el camino para la aparici\u00f3n de un archivo malicioso que conten\u00eda al menos un d\u00eda cero en un paquete de software popular.&nbsp;<\/p>\n\n\n\n<p>Dicha vulnerabilidad se encuentra actualmente en proceso de reparaci\u00f3n.<\/p>\n\n\n\n<p>La carga \u00fatil, por su parte, realiza una serie de comprobaciones anti-m\u00e1quina virtual (VM) y transmite la informaci\u00f3n recopilada, junto con una captura de pantalla, a un servidor controlado por el atacante.<a href=\"https:\/\/thn.news\/o6a5Vxgy\" rel=\"noreferrer noopener\" target=\"_blank\"><\/a><\/p>\n\n\n\n<p>Una b\u00fasqueda en X muestra que la cuenta ahora suspendida ha estado activa desde al menos octubre de 2022, y el actor&nbsp;lanz\u00f3&nbsp;un c\u00f3digo de explotaci\u00f3n (exploit) de prueba de concepto (PoC) para&nbsp;fallos de escalada de privilegios&nbsp;de alta gravedad&nbsp;en el kernel de Windows, como&nbsp;CVE-2021. -34514&nbsp;y&nbsp;CVE-2022-21881&nbsp;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Los piratas inform\u00e1ticos norcoreanos aprovechan los se\u00f1uelos<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-21881\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><\/h2>\n\n\n\n<p>Esta no es la primera vez que los hackers norcoreanos aprovechan los se\u00f1uelos con temas de colaboraci\u00f3n para infectar a las v\u00edctimas.&nbsp;<\/p>\n\n\n\n<p>En julio de 2023, GitHub&nbsp;<a href=\"https:\/\/thehackernews.com\/2023\/07\/north-korean-state-sponsored-hackers.html\" target=\"_blank\" rel=\"noreferrer noopener\">revel\u00f3<\/a>&nbsp;detalles de una campa\u00f1a de npm en la que adversarios rastreados como TraderTraitor (tambi\u00e9n conocido como Jade Sleet) utilizaron personas falsas para apuntar al sector de la ciberseguridad, entre otros.<\/p>\n\n\n\n<p>\u00abDespu\u00e9s de establecer contacto con un objetivo, el ciberdelincuente lo invita a colaborar en un repositorio de GitHub y lo convence para clonar y ejecutar su contenido\u00bb, dijo la compa\u00f1\u00eda propiedad de Microsoft en ese momento.<\/p>\n\n\n\n<p>Google TAG dijo que tambi\u00e9n encontr\u00f3 una herramienta independiente de Windows llamada \u00abGetSymbol\u00bb desarrollada por los atacantes y alojada en GitHub como un posible vector de infecci\u00f3n secundaria.&nbsp;Se ha bifurcado 23 veces hasta la fecha.<\/p>\n\n\n\n<p>El software manipulado por los piratas inform\u00e1ticos, publicado en el servicio de alojamiento de c\u00f3digos en septiembre de 2022 y actualizado varias veces antes de ser eliminado, ofrece un medio para \u00abdescargar&nbsp;s\u00edmbolos de depuraci\u00f3n&nbsp;de los servidores de s\u00edmbolos de Microsoft, Google, Mozilla y Citrix para realizar ingenier\u00eda inversa\u00bb.<\/p>\n\n\n\n<p>Pero tambi\u00e9n viene con la capacidad de descargar y ejecutar c\u00f3digo arbitrario desde un dominio de comando y control (C2).<\/p>\n\n\n\n<p>La divulgaci\u00f3n se produce cuando el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC)&nbsp;revel\u00f3&nbsp;que el actor estatal norcoreano conocido como&nbsp;<a href=\"https:\/\/thehackernews.com\/2023\/07\/starkmule-targets-koreans-with-us.html\" target=\"_blank\" rel=\"noreferrer noopener\">ScarCruft<\/a>&nbsp;est\u00e1 aprovechando los se\u00f1uelos de archivos LNK en correos electr\u00f3nicos de phishing para ofrecer una puerta trasera capaz de recopilar datos confidenciales y ejecutar instrucciones maliciosas.<\/p>\n\n\n\n<p>Tambi\u00e9n sigue a&nbsp;nuevos hallazgos&nbsp;de Microsoft de que \u00abm\u00faltiples actores de amenazas norcoreanos han atacado recientemente al gobierno ruso y a la industria de defensa -probablemente para recopilar informaci\u00f3n de inteligencia- al mismo tiempo que brindan apoyo material a Rusia en su guerra contra Ucrania\u00bb.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">M\u00e1s objetivos de los piratas inform\u00e1ticos norcoreanos<\/h2>\n\n\n\n<p>SentinelOne tambi\u00e9n destac\u00f3 el objetivo de las empresas de defensa rusas el mes pasado, que revel\u00f3 que tanto <a href=\"https:\/\/es.wikipedia.org\/wiki\/Lazarus_Group\" target=\"_blank\" rel=\"noopener\">Lazarus Group<\/a> (tambi\u00e9n conocido como Diamond Sleet o Labyrinth Chollima) como ScarCruft (tambi\u00e9n conocido como Ricochet Chollima o Ruby Sleet) violaron NPO Mashinostroyeniya, una empresa rusa de ingenier\u00eda de misiles,&nbsp;para&nbsp;facilitar&nbsp;la recogida de informaci\u00f3n.<\/p>\n\n\n\n<p>Tambi\u00e9n se ha observado que los dos actores se infiltraron en empresas de fabricaci\u00f3n de armas con sede en Alemania e Israel desde noviembre de 2022 hasta enero de 2023, sin mencionar que comprometieron un instituto de investigaci\u00f3n aeroespacial en Rusia, as\u00ed como empresas de defensa en Brasil, Chequia, Finlandia, Italia, Noruega y Polonia desde principios de a\u00f1o.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"512\" height=\"512\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"lazarous-group-piratas\" class=\"wp-image-29945 lazyload\" sizes=\"(max-width: 512px) 100vw, 512px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/Lazarus_Group.png\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/Lazarus_Group.png 512w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/Lazarus_Group-300x300.png 300w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/Lazarus_Group-150x150.png 150w\"><figcaption class=\"wp-element-caption\"><em>Fuente: Wikipedia<\/em><\/figcaption><\/figure>\n\n\n\n<p>\u00abEsto sugiere que <strong>el gobierno de Corea del Norte est\u00e1 asignando m\u00faltiples grupos de actores de amenazas a la vez para cumplir con requisitos de recopilaci\u00f3n de alta prioridad para mejorar las capacidades militares del pa\u00eds<\/strong>\u00ab, dijo el gigante tecnol\u00f3gico.<\/p>\n\n\n\n<p>Simplemente no es ciberespionaje.&nbsp;A principios de esta semana, la Oficina Federal de Investigaciones (FBI) de Estados Unidos&nbsp;implic\u00f3&nbsp;al&nbsp;<a href=\"https:\/\/thehackernews.com\/2023\/08\/north-korean-affiliates-suspected-in.html\" target=\"_blank\" rel=\"noreferrer noopener\">Grupo Lazarus<\/a>&nbsp;como detr\u00e1s del robo de 41 millones de d\u00f3lares en moneda virtual de Stake.com, un casino y plataforma de apuestas en l\u00ednea.<\/p>\n\n\n\n<p>Dijo que los fondos robados asociados con las redes Ethereum, Binance Smart Chain (BSC) y Polygon de Stake.com se trasladaron a 33 billeteras diferentes alrededor del 4 de septiembre de 2023.<\/p>\n\n\n\n<p>\u00abLos actores de amenazas cibern\u00e9ticas de Corea del Norte llevan a cabo operaciones cibern\u00e9ticas con el objetivo de recopilar inteligencia sobre las actividades de los adversarios percibidos del estado: Corea del Sur, Estados Unidos y Jap\u00f3n, recopilar inteligencia sobre las capacidades militares de otros pa\u00edses para mejorar las suyas propias. y recaudar fondos en criptomonedas para el estado\u00bb, dijeron fuentes de Microsoft.<br><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"850\" height=\"478\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"piratas-norcoreanos-kim-jon-un\" class=\"wp-image-29944 lazyload\" sizes=\"(max-width: 850px) 100vw, 850px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/bic_NorthKorea_KimJongUn_neutral_1-850x478.jpg.optimal.jpg\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/bic_NorthKorea_KimJongUn_neutral_1-850x478.jpg.optimal.jpg 850w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/bic_NorthKorea_KimJongUn_neutral_1-850x478.jpg.optimal-300x169.jpg 300w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2023\/09\/bic_NorthKorea_KimJongUn_neutral_1-850x478.jpg.optimal-768x432.jpg 768w\"><\/figure>\n\n\n\n<p>M\u00e1s informaci\u00f3n en el siguiente enlace:<\/p>\n\n\n\n<p><a href=\"https:\/\/thehackernews.com\/2023\/09\/north-korean-hackers-exploit-zero-day.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2023\/09\/north-korean-hackers-exploit-zero-day.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los piratas inform\u00e1ticos norcoreanos aprovechan el error de d\u00eda cero para atacar a los investigadores de ciberseguridad Los actores de ciberamenazas asociados con Corea del Norte contin\u00faan&nbsp;atacando&nbsp;a&nbsp;la&nbsp;comunidad de ciberseguridad utilizando un error de d\u00eda cero en software no especificado durante las \u00faltimas semanas para infiltrarse en sus m\u00e1quinas. Los hallazgos provienen del Grupo de An\u00e1lisis [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":29942,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-29937","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/29937","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=29937"}],"version-history":[{"count":6,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/29937\/revisions"}],"predecessor-version":[{"id":29948,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/29937\/revisions\/29948"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media\/29942"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=29937"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=29937"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=29937"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}