Home Ciberguerra Ciberdelincuentes norcoreanos utilizaron el software espía “Torisma” en ataques basados en ofertas...

Ciberdelincuentes norcoreanos utilizaron el software espía “Torisma” en ataques basados en ofertas de trabajo

Una campaña de ciberespionaje dirigida a los sectores aeroespacial y de defensa con el fin de instalar implantes de recogida de datos en las máquinas de las víctimas con fines de vigilancia y exfiltración de datos puede haber sido más sofisticada de lo que se pensaba.

Los ataques, dirigidos contra direcciones IP pertenecientes a proveedores de servicios de Internet (ISP) de Australia, Israel, Rusia y contratistas de defensa con sede en Rusia y la India, implicaron una herramienta de software espía no descubierta anteriormente, llamada Torisma, para vigilar sigilosamente a sus víctimas con el fin de que siguieran siendo explotadas.

Rastreada bajo el nombre en clave de “Operación Estrella del Norte” por los investigadores de McAfee, los primeros hallazgos de la campaña en julio revelaron el uso de sitios de medios sociales, spear-phishing y documentos armados con ofertas de trabajo falsas para engañar a los empleados que trabajan en el sector de la defensa para que se introduzcan en las redes de sus organizaciones.

Los ataques se han atribuido a la infraestructura y a los TTPs (Técnicas, Tácticas y Procedimientos) previamente asociados con Cobra Oculta – un término general usado por el gobierno de los Estados Unidos para describir a todos los grupos de hackers patrocinados por el estado de Corea del Norte.

El desarrollo continúa la tendencia de Corea del Norte, un país fuertemente sancionado, aprovechando su arsenal de actores de amenaza para apoyar y financiar su programa de armas nucleares mediante la perpetración de ataques maliciosos contra contratistas de defensa y aeroespaciales de EE.UU.

Si bien el análisis inicial sugería que los implantes tenían por objeto reunir información básica sobre las víctimas a fin de evaluar su valor, la última investigación sobre la Operación Estrella del Norte exhibe un “grado de innovación técnica” diseñado para permanecer oculto en los sistemas comprometidos.

La campaña no sólo utilizó contenido legítimo de reclutamiento laboral de populares sitios web de contratistas de defensa de EE.UU. para atraer a las víctimas objetivo a abrir archivos adjuntos de correo electrónico maliciosos de “spear-phishing”, sino que los atacantes comprometieron y utilizaron sitios web genuinos de EE.UU. e Italia – una casa de subastas, una imprenta y una empresa de capacitación en tecnología de la información – para alojar sus capacidades de mando y control (C2).

Además, el implante de la primera etapa incorporado en los documentos de Word pasaría a evaluar los datos del sistema de la víctima (fecha, dirección IP, agente de usuario, etc.) mediante la verificación cruzada con una lista predeterminada de direcciones IP de destino para instalar un segundo implante llamado Torisma, todo ello minimizando el riesgo de detección y descubrimiento.

Este implante de vigilancia especializada se utiliza para ejecutar un código de shell personalizado, además de vigilar activamente las nuevas unidades añadidas al sistema, así como las conexiones de escritorio remoto.

Con información de: Masterhacks Noticias.