Hackers norcoreanos infectan a investigadores de seguridad con malware de puerta trasera

El Grupo de Análisis de Amenazas de Google detalló una nueva campaña en la que los piratas informáticos respaldados por el estado de Corea del Norte apuntan a los investigadores de seguridad a través de las redes sociales.. Al pedirles que colaboren en la búsqueda de nuevos exploits, están enviando software y URL que instalan puertas traseras en los sistemas, probablemente para robar su trabajo de investigación.

Los investigadores de seguridad apuntaron a una campaña de puerta trasera

Cazar al cazador es un juego diferente, que ahora es jugado por piratas informáticos norcoreanos respaldados por el estado. según lo identificado por el Grupo de análisis de amenazas de Google. Detallaron una campaña en la que los investigadores de seguridad están siendo dirigidos a varias plataformas de redes sociales como Keybase, LinkedIn, Twitter, Email, Discord y Telegram.

Aquí, los piratas informáticos crean perfiles falsos e investigadores de mensajes para la colaboración y, cuando se combinan, enviarían un proyecto de Visual Studio con un PoC de su trabajo, que también contiene una DLL maliciosa para configurar una puerta trasera. Aquí, los piratas informáticos están creando publicaciones de blog y algunas PoC falsas a partir de vulnerabilidades existentes para hacer creer a los objetivos.

Una vez abierto, comprobará el tipo de sistema operativo y ejecutará la DLL maliciosa a través de rundll32.exe. Se inyecta en la memoria y se conectará al C2 del hacker para comunicarse y recibir comandos. Además, algunos informaron que sus sistemas fueron pirateados después de visitar un sitio web. blog.br0vvnn[.]Io (no abra)

Cuentas de Twitter identificadas en esta campaña (br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 y z0x55g) tienen esta URL en su biografía y los destinos deseados para hacer clic en ellos. Aunque aún no se conoce el objetivo exacto de esta campaña, se presume que es para robar el trabajo de los investigadores objetivo.

Además, todos los objetivos ejecutan la última versión de Windows 10 y Google Chrome, pero aún están infectados. Esto muestra que Los piratas informáticos están utilizando exploits de día cero para infectar objetivos. Por eso, Google recomendó a los investigadores que compartimentaran su trabajo de investigación y usaran software de virtualización para instalar este tipo de software sospechoso.