- Investigadores realizan una campaña de empleo falsa para piratas informáticos norcoreanos
- Fueron engañados usando una caja de arena que pensaban que era una computadora portátil legítima.
- Esto proporciona información valiosa sobre su estrategia.
Una investigación dirigida por Mauro Eldrich, fundador de BCA Ltd, observó al infame Grupo Lazarus en asociación con Northscan y ANY.RUN en uno de sus planes más notorios: la campaña de “entrevistas maliciosas”. En este esquema, los agentes de la RPDC engañan a empleadores legítimos para que contraten empresas de alto perfil, un puesto que pueden utilizar para llevar a cabo actividades maliciosas.
Los investigadores en esta operación de recopilación de inteligencia pudieron atrapar lo que los piratas informáticos creían que eran “portátiles reales para desarrolladores”, pero en realidad eran entornos sandbox controlados remotamente que pertenecían a ANY.RUN.
Durante la campaña observada más recientemente, los piratas informáticos contrataron ingenieros reales para que actuaran como testaferros, ofreciéndoles entre el 20% y el 30% de su salario a cambio de participar en entrevistas y reuniones.
Chollima famosa
Al engañar a los delincuentes, conocidos como el ‘famoso Chollima’, para que usaran entornos sandbox, los investigadores pudieron revelar sus técnicas y una herramienta limitada pero poderosa que les permitió asumir identidades sin implementar ransomware.
Se ha visto a delincuentes consumiendo; Generadores de OTP basados en navegador, herramientas de automatización de IA y Google Remote Desktop para evitar 2FA y permitir un control consistente de los hosts.
Esto no es particularmente sorprendente, ya que hemos visto muchas iteraciones diferentes de estos ataques con técnicas y herramientas tecnológicas en evolución. El FBI publicó recientemente una declaración sobre los esfuerzos de los piratas informáticos norcoreanos.
“Los esquemas de ingeniería social de Corea del Norte son complejos y elaborados, y a menudo comprometen a las víctimas con inteligencia técnica sofisticada. Dada la escala y la persistencia de esta actividad maliciosa, incluso aquellos bien versados en prácticas de ciberseguridad pueden ser vulnerables a la determinación de Corea del Norte de comprometer las redes conectadas a criptomonedas”.
A través de esta investigación, los equipos de seguridad obtienen una visión más detallada del funcionamiento de estos grupos criminales y las empresas pueden estar más seguras en sus defensas. Es importante que las empresas comprendan las herramientas comunes que utilizan estas organizaciones, ya que un compromiso podría conducir a una intrusión mucho más significativa.
Vía: Noticias de hackers
La mejor protección contra robo de identidad para todos los presupuestos
