Ciberataque desde Corea del Norte utilizando un paquete de software malicioso


 

Ciberataque desde Corea del Norte utilizando un paquete de software malicioso 


Recientemente, se ha observado una actividad de ciberdelitos vinculada con el grupo APT proveniente de Corea Del Norte llamado “Lazarus”.  Durante los últimos años este grupo de hackers ha estado detrás de grandes robos de criptomonedas, datos e información, siendo las más afectadas compañías proveedoras de internet, software y de comercio electrónico.

 

Utilizando tácticas de BYOVD (Bring Your Own Vulnerable Drive - Trae tú propio controlador vulnerable) en campañas de correo electrónico dirigidos a objetivos específicos (spear-phishing), este grupo de ciberdelincuentes ha enfocado sus ataques a víctimas de diferentes ámbitos alrededor del mundo; como expertos de instituciones aeroespaciales en Holanda o abogados políticos de Bélgica, entre otros.  Los correos tenían como temática de engaño ofertas de trabajo emitidas desde Amazon, los cuales contenían archivos adjuntos, parecidos a documentos con textos, que una vez descargados podían disparar la ejecución de una plantilla remota desde una dirección codificada, con la finalidad de infectar el sistema con un software malicioso que permitía comprometer el dispositivo.

 

Un ataque BYOVD ocurre cuando el actor malicioso carga un controlador vulnerable a exploits en Windows como si fuera válido y firmado formalmente. Con la existencia de una vulnerabilidad, el atacante puede obtener acceso de lectura y escritura de la memoria kernel asignada para los controladores, pudiendo deshabilitar mecanismos de registro de actividad, creación de procesos, seguimiento de eventos, entre otros, que dejan sin visión a los sistemas de seguridad que tenga instalado el dispositivo, convirtiéndose en un ataque que puede generar grandes impactos en los datos de la red atacada.   Esto partió como una forma de engañar a los sistemas anti-cheat (anti-trampas) en los video juegos, pero rápidamente se movió a otros ámbitos digitales.

 

En el caso particular de estos ataques, la vulnerabilidad utilizada se documenta como CVE-2021-21551, vinculada a una serie de 5 debilidades en el controlador de hardware de Dell “dbutil_2_3.sys”, explotadas por 12 años, hasta que fue parcheada con actualizaciones de seguridad.

 


Propiedades de controlador dbutil_2_3.sys utilizado en el ataque (Bleepping Computer)


Desde Arkavia Networks recomiendan prevenir este tipo de ataques a través de la actualización permanente de los sistemas, versiones de software, herramientas de seguridad de EndPoint y manteniendo una educación en los usuarios del correo electrónico, con la finalidad de identificar delitos como Phishing.  Aplica las siguientes conductas para evitar pérdidas:

 

  • No abrir correos electrónicos de dominios no conocidos por usted y de remitentes desconocidos.
  • No descargar archivos adjuntos de correos electrónicos de procedencia dudosa.
  • Mantener actualizado los programas y sistema operativo.

 

Para el caso de una organización, es ventajoso tener un software de antivirus corporativo que detecte firmas maliciosas y responda a la detección de comportamientos sospechosos (EDR), así como poseer un software que proporcione el servicio de escanear vulnerabilidades en toda la plataforma de la organización.

 

 

 Referencia: Lazarus Group Uses FudModule Rootkit to Abuse Dell Driver Bug


COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Ciberataque desde Corea del Norte utilizando un paquete de software malicioso
Ciberataque desde Corea del Norte utilizando un paquete de software malicioso
Ciberataque desde Corea del Norte utilizando un paquete de software malicioso , últimos ataques de ciberseguridad.
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjk2Up0hK-l1LMD8HQTnX2b02Wp47qmVdHnzU1GW3Kg9YnMR8jaYSPIWIv9Dv4yX3EoB6J-KdvTTeAICvZVdtI_tLNY6fst6r7BVi0JEMYPGlXlK4nc9odH3huOhHyCMSuZ4x13wRcNq09fUY4I72mHKa_bLoWKlSjln53YtodcaHyiLWkgL2Yim47Z/w720-h205/BANNER%20LINKEDIN%20ARKAVIA%20cOMUNICADO%20PRENSA%202corea%20%7D.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjk2Up0hK-l1LMD8HQTnX2b02Wp47qmVdHnzU1GW3Kg9YnMR8jaYSPIWIv9Dv4yX3EoB6J-KdvTTeAICvZVdtI_tLNY6fst6r7BVi0JEMYPGlXlK4nc9odH3huOhHyCMSuZ4x13wRcNq09fUY4I72mHKa_bLoWKlSjln53YtodcaHyiLWkgL2Yim47Z/s72-w720-c-h205/BANNER%20LINKEDIN%20ARKAVIA%20cOMUNICADO%20PRENSA%202corea%20%7D.jpg
Arkavia Networks News
https://www.arkalabs.cl/2022/10/ciberataque-desde-corea-del-norte.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2022/10/ciberataque-desde-corea-del-norte.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy