08 de agosto de 2024Ravie LakshmananAtaque cibernético / Espionaje cibernético El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado a un nuevo conjunto de ataques dirigidos al personal universitario, investigadores y profesores con fines de recopilación de inteligencia. La empresa de ciberseguridad Resilience dijo que identificó la actividad a fines de julio de 2024 después de observar un error de seguridad de operaciones (OPSEC) cometido por los piratas informáticos. Kimsuky, también conocido con los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima, es solo uno de los innumerables equipos cibernéticos ofensivos que operan bajo la dirección del gobierno y el ejército de Corea del Norte. También es muy activo, y a menudo aprovecha las campañas de phishing selectivo como punto de partida para ofrecer un conjunto cada vez mayor de herramientas personalizadas para realizar reconocimientos, robar datos y establecer un acceso remoto persistente a los hosts infectados. Los ataques también se caracterizan por el uso de hosts comprometidos como infraestructura de prueba para implementar una versión ofuscada del shell web de Green Dinosaur, que luego se utiliza para realizar operaciones con archivos. El uso del shell web por parte de Kimuksy fue destacado previamente por el investigador de seguridad blackorbird en mayo de 2024. El acceso proporcionado por Green Dinosaur se utiliza luego para cargar páginas de phishing preconstruidas que están diseñadas para imitar portales de inicio de sesión legítimos para Naver y varias universidades como la Universidad de Dongduk, la Universidad de Corea y la Universidad de Yonsei con el objetivo de capturar sus credenciales. A continuación, las víctimas son redirigidas a otro sitio que apunta a un documento PDF alojado en Google Drive que pretende ser una invitación al Foro de agosto del Instituto Asan de Estudios Políticos. «Además, en los sitios de phishing de Kimsuky, hay un kit de herramientas de phishing no específico para el objetivo para recopilar cuentas de Naver», dijeron los investigadores de Resilience. «Este conjunto de herramientas es un proxy rudimentario similar a Evilginx para robar cookies y credenciales de los visitantes y muestra ventanas emergentes que indican a los usuarios que deben iniciar sesión nuevamente porque se interrumpió la comunicación con el servidor». El análisis también ha arrojado luz sobre una herramienta PHPMailer personalizada utilizada por Kimsuky llamada SendMail, que se emplea para enviar correos electrónicos de phishing a los objetivos que utilizan cuentas de Gmail y Daum Mail. Para combatir la amenaza, se recomienda que los usuarios habiliten la autenticación multifactor (MFA) resistente al phishing y examinen las URL antes de iniciar sesión. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.