Kimsuky – una nueva APT que puede haber sido diseñada por Korea del Norte

0

*Imagen ofrecida por CNN.

Durante varios meses, los expertos de seguridad de Kaspersky han estado monitorizando una incipiente campaña de ciber-espionaje contra elementos surcoreanos relacionados con la política y libretades. Hay varios motivos para calificar esta campaña como extraordinaria en su ejecución y logística. Todo empezó un día, cuando los investigadores encontraron algo así como un programa espía poco sofisticado que se comunicaba con su “maestro” por medio de un servidor de email público. Este método es frecuente entre aquellos escritores de virus amateurs.

Sin embargo, ciertas cosas llamaron la atención:

1) El servidor de email público en cuestión era búlgaro – mail.bg.

2) La ruta de compilación para la cadena contenía caracteres coreanos.

La ruta completa presente en este malware muestra ciertas cadenas coreanas:

D:rsh공격UAC_dll(완성)Releasetest.pdb

La palabra “rsh”, según parece, significa una abreviatura de “Remote Shell” y en palabras coreanas se puede traducir en inglés como “ataque” y “completo”, por ejemplo:

D:rshATTACKUAC_dll(COMPLETION)Releasetest.pdb

Los expertos fueron capaces de descifrar ciertos objetivos. Aquí podéis ver algunas de las organizaciones que los atacantes tenían en el punto de mira:

 – Instituto Sehjong: es una organización sin ánimo de lucro formada por pensadores y gentes del think-tank de la región. Su objetivo es estudiar la seguridad estratégica, la unidad nacional, economía global, conflictos regionales, etc.

 – KIDA: Instituto coreano para los análisis de Defensa: Es una suerte de organismo estratégico centralizado que incluye el resto de organismos nacionales relacionados con la Defensa e Investigación.

 – Ministerio de Unificación: es un organismo nacional cuyo fin es estudiar y promover la unificación de las dos Coreas y toda la estrategia y política que rodea este objetivo.

 – Hyundai Merchant Marine: Una empresa nacional de logística dedicada al servicio de servicio de Containers a nivel mundial.

Algunas pistas sugieren que los ordenadores pertenecientes a los “Simpatizantes de la unificación coreana” también han sido vulnerados. Entra las organizaciones comprometidas se cuentan 11 situadas en Corea y 2 en China. 

Existen multitud de programas maliciosos minimalistas envueltos en esta campaña pero, extrañamente, cada uno de ellos desarrolla una función de espionaje. Se encontraron librerías responsables de facilitar la comunicación con el “dueño” de la campaña y algunos módulos adicionales que realizan funciones de:

  • Registro de pulsaciones de teclado (keylogging)
  • Recolección de listas del Directorio
  • Robo de documentos HWP
  • Descarga y ejecución de módulo de control remoto
  • Control remoto de acceso
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR