Oleada de ciberataques desde Corea del Norte al instalar aplicaciones de código abierto

Microsoft ha lanzado este pasado jueves una importante alerta de seguridad tras comprobar que numerosas organizaciones de sectores como defensa, comunicación, aeroespacial y servicios IT han visto comprometida su seguridad. ¿La razón? Piratas informáticos respaldados por el gobierno de Corea del Norte por medio de piezas de software de código abierto y a los que Microsoft ha bautizado como ZINC (anteriormente conocidos como Lazarus)

Una de las más perjudicadas ha sido PuTTY, un popular emulador de terminal, consola y aplicación de transferencia de archivos de red que admite protocolos incluidos SSH, rlogin, Telnet y conexión de socket sin procesar. Éste ha sufrido el conocido como malware de espionaje que tiene como objetivo robar toda la información posible de la organización poniendo incluso en jaque el propio funcionamiento de la misma.

Hace dos semanas, la firma de seguridad Mandiant ya advirtió sobre los peligros que acechaban a PuTTY. Donde estos piratas informáticos procedentes del hermético país asiático le habían atacado con troyanos y comprometiendo la red de un cliente. Este mismo jueves, además, los mismos ciberdelincuentes habían atacado aplicaciones como KiTTY, TightVNC, Sumatra PDF Reader y el software muPDF / Subliminal Recording. En todos los casos, la acción es la misma: infectarlas con un código que instala el malware de espionaje ZetaNile.

“Debido al amplio uso de las plataformas y software que ataca, ZINC podría representar una amenaza significativa para las personas y organizaciones en múltiples sectores y regiones», han publicado los equipos de Microsoft Security Threat Intelligence y LinkedIn Threat Prevention and Defense. Cabe recordar que ZINC / Lazarus ya afectó gravemente en 2014 a Sony Pictures Entertainment y otras aplicaciones de código abierto con otras opciones de código altamente cifrado que, finalmente, termina instalando malware de espionaje.

Así actúan los hackers desde Corea del Norte

El modus operandi que siguen desde ZINC y tal como denuncia Microsoft, es el mismo. Los hackers se hacen pasar por reclutadores de personal para falsos puestos de trabajo. Se conectan con personas de organizaciones concretas a través de Linkedin. Después de llegar a un grado de confianza, les piden hablar por WhatsApp desde donde los piratas informáticos indican a los falsos candidatos a que instalen ciertas aplicaciones consiguiendo con ello que infecten los diferentes entornos de trabajo.

El grupo se basa principalmente en el spear phishing para atacar a las víctimas, pero también utiliza otras formas de ingeniería social y compromisos de sitios web. Como en este caso, engañándolos o coaccionándolos para que instalen software troyano en sus dispositivos de trabajo.

En las aplicaciones atacadas como PuTTY y KiTTY, Microsoft observó que los ciberdelincuentes utilizan un mecanismo inteligente para garantizar que solo ciertos objetivos se infecten. Los instaladores de las aplicaciones no ejecutan ningún código malicioso, sin embargo el malware ZetaNile se instala solo cuando las aplicaciones se conectan a una dirección IP específica y usan credenciales de inicio de sesión que los reclutadores falsos dan a las víctimas.

Una de técnicas utilizas más comunes es la del secuestro de orden de búsqueda DLL, que carga y descifra una carga útil de segunda etapa cuando se presenta con la clave «0CE1241A44557AA438F27BC6D4ACA246» para su uso como comando y control. Una vez conectados con éxito al servidor C2, los atacantes pueden instalar malware adicional en el dispositivo comprometido.