LOS HACKERS DE COREA DEL NORTE POR PRIMERA VEZ EN LA HISTORIA ATACARON A RUSIA
Los ataques utilizaron la puerta trasera KEYMARBLE del arsenal del grupo Lazarus.
Durante mucho tiempo, se creyó que Rusia es un objetivo tabú para los piratas informáticos de la RPDC debido a las relaciones amistosas entre los dos países. Pero ahora todo ha cambiado. Por primera vez en la historia ,los investigadores de Check Pointregistraron unataque cibernético llevado a cabo por el grupo de ciberdelincuentes norcoreano Lazarus en objetivos en la Federación Rusa.
Según los investigadores, el ataque fue llevado a cabo por una división de Lázaro llamada Bluenoroff. La tarea de esta unidad es obtener beneficios financieros, mientras que la tarea de otra unidad llamada Andariel es llevar a cabo ataques cibernéticos en Corea del Sur. Los expertos de Bluenoroff atribuyen la piratería sensacional de los servidores de Sony Pictures Entertainment en 2014 y el secuestro de $ 81 millones del Banco Central de Bangladesh.
El hecho de que los ataques cibernéticos a objetivos en Rusia sean de Lazarus está indicado por un software malintencionado utilizado por los ciberdelincuentes, a saber, la puerta trasera multifunción KEYMARBLE. El Departamento de Seguridad Nacional de EE. UU. Lo describe como un troyano para acceso remoto (RAT), que utiliza el algoritmo criptográfico XOR para proteger los datos transmitidos y comunicarse con el servidor de C&C. KEYMARBLE recibe instrucciones de un servidor remoto.
La infección de los sistemas atacados en el curso de la nueva campaña tuvo lugar en tres etapas. Al principio, la víctima recibió un correo electrónico con un archivo ZIP con documentos PDF y Word maliciosos. Después de activar las macros de Dropbox, el script VBS se descargó en la computadora de la víctima. Después de la ejecución, el script descargó el archivo CAB del servidor pirateado y sirvió su carga útil. En algún momento durante la campaña, los atacantes abandonaron el segundo paso y modificaron las macros en el documento de Word para descargar la puerta trasera directamente.
Surge la pregunta, ¿por qué la RPDC necesita atacar un estado amistoso? Por supuesto, alguien más podría simplemente hacerse pasar por piratas informáticos norcoreanos, pero en este caso, los especialistas de Check Point están seguros de que Lázaro realmente está detrás de los ataques.
