Hackers norcoreanos de Lazarus atacan a trabajadores nucleares

23 diciembre 2024

Kaspersky descubrió recientemente nuevas incorporaciones a la campaña Lazarus DreamJob
Los delincuentes atacaron a dos personas que trabajaban para la misma empresa relacionada con la energía nuclear
En el ataque utilizaron malware actualizado para intentar acceder

Recientemente se ha descubierto que el infame Grupo Lazarus, un actor de amenazas vinculado al gobierno de Corea del Norte, ataca al personal de TI dentro de la misma organización relacionada con la energía nuclear con nuevas cepas de malware.

Estos ataques parecen ser una continuación de una campaña que comenzó en 2020, llamada Operación DreamJob (también conocida como Deathnote), donde los atacantes crearon trabajos falsos y ofrecieron estos trabajos soñados a personas que trabajan en defensa, aeroespacial, criptomonedas y otros sectores globales. , en todo el mundo.

Se comunicarían a través de redes sociales como LinkedIn o X y realizarían varias rondas de “entrevistas”. En cada paso durante estas entrevistas, las víctimas recibirán un malware o herramientas de acceso remoto troyanos.

CookieTime y CookiePlus

El objetivo final de esta campaña es robar información confidencial o criptomonedas. Lazarus logró, entre otras cosas, robar unos 600 millones de dólares de una empresa de criptografía allá por 2022.

Como explicó Kaspersky en su último artículo, en este caso, Lazarus apuntó a dos personas con herramientas maliciosas de acceso remoto. Luego utilizaron las herramientas para lanzar un malware llamado CookieTime, que actuaba como puerta trasera y permitía a los atacantes ejecutar varios comandos en el punto final comprometido.

Esto les dio la capacidad de moverse lateralmente a través de la red y descargar varias cepas de malware adicionales, como LPEClient, Charamel Loader, ServiceChanger y una versión actualizada de CookiePlus.

Kaspersky dice que CookiePlus es de particular interés porque es un nuevo malware basado en complementos que se descubrió durante la última investigación. Lo cargan tanto ServiceChanger como Charamel Loader, con versiones ejecutadas de manera diferente, según el cargador. Debido a que CookiePlus funciona como una descarga, su funcionalidad es limitada y transmite información mínima.

Los ataques tuvieron lugar en enero de 2024, lo que significa que Lazarus sigue siendo una gran amenaza procedente de Corea del Norte.

a través de noticias de piratas informáticos

Puede que a ti también te guste

Source link

RELATED ARTICLESMORE FROM AUTHOR

Conexión del NYT de hoy: sugerencia de la edición deportiva, 23 de enero, respuesta al n.° 122

Eventualmente Claude comenzará a hablar durante tus chats.

La Royal Shakespeare Company lanza su primer videojuego

RELATED ARTICLES MORE FROM AUTHOR