Informes sobre APT

APT Kimsuky: se descubren posibles conexiones con Corea del Norte

Durante varios meses, hemos estado haciendo un seguimiento de una operación de ciberespionaje contra importantes figuras de Corea del Sur. Hay muchas razones por las que esta campaña se considera extraordinaria en su ejecución y logística. Todo comenzó un día en que encontramos un programa espía poco complejo que se comunicaba con su “dueño” mediante un servidor público de correos electrónicos. Esto es algo que los escritores de virus amateur suelen hacer.

Pero algunas cosas atrajeron nuestra atención:

  • El servidor público de correos electrónicos en cuestión era búlgaro: mail.bg.
  • La ruta de compilación de cadenas de caracteres contenía caracteres coreanos.

Algunas de las cadenas de caracteres de la ruta completa del malware estaban en coreano:

D:rsh공격UAC_dll(완성)Releasetest.pdbLa palabra “rsh”, en todas sus apariciones, es un acortamiento de “Remote Shell”, y las palabras en coreano se pueden traducir como “ataque” y “término”. Por ejemplo:

D:rshATTACKUAC_dll(COMPLETION)Releasetest.pdbLogramos identificar varios de los objetivos del ataque. Estas son algunas de las organizaciones a las que los cibercriminales les interesaba atacar:

El Instituto Sejong

El Instituto Sejong es una organización privada de interés público y sin fines de lucro, y uno de los principales núcleos en los que los expertos de Corea del Sur se dedican a investigar estrategias de seguridad nacional, unificación, asuntos interiores y economía política internacional.

Instituto Coreano para el Análisis de Defensas (KIDA)

El KIDA es un instituto exhaustivo de investigaciones de defensa que cubre un amplio rango de problemas relacionados con la defensa de la nación. El KIDA se organiza en siete centros de investigación: El Centro de Seguridad y Estrategia; Centro de Organización Militar; Centro de Desarrollo de Recursos Humanos; Centro de Administración de Recursos; Centro de Estudios de Sistemas de Armamentos; Centro de Estudios de Sistemas Informáticos y el Centro de Modelado y Simulación. KIDA también tiene un Grupo de Consultoría y varios departamentos complementarios. La misión del KIDA es contribuir a la creación racional de regulaciones de defensa haciendo investigaciones y análisis intensivos y sistemáticos de los problemas de seguridad.

Ministerio de Unificación

El Ministerio de Unificación es un departamento ejecutivo del gobierno surcoreano, que tiene el deber de buscar la reunificación de Corea. Sus principales funciones son: establecer políticas con Corea del Norte, coordinar diálogos dentro de Corea, buscar la cooperación inter-coreana y educar al público sobre la importancia de la reunificación.

La Marina Mercante de Hyundai

La Marina Mercante de Hyundai es una compañía de logísticas surcoreana que ofrece servicios de transporte de contenedores en todo el mundo.

 

Hay indicaciones de que los ordenadores de los “Seguidores de la unificación coreana” (http://www.unihope.kr/ ) también están comprometidos. Entre otras organizaciones que también tomamos en cuenta, 11 se encuentran en Corea del Sur y dos en China.

Muchos programas maliciosos de menor importancia participan de esta operación, pero cada uno implementa una única función espía. Encontramos bibliotecas básicas que son las responsables de la comunicación común con el jefe de campaña y módulos adicionales que realizan las siguientes funciones:

  • Registro de las teclas pulsadas
  • Recolección de los listados del directorio
  • Robo de documentos HWP
  • Descarga y ejecución de controles remotos
  • Acceso a distancia

Las pistas que encontramos nos permiten suponer que los ataques se originan en Corea del Norte. Puedes encontrar el informe detallado de la operación en nuestro artículo “La Operación ‘Kimsuky’: una APT norcoreana?”.

APT Kimsuky: se descubren posibles conexiones con Corea del Norte

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada