DonsoftST
Bienvenido/a al Foro DonsoftST creado con el propósito de ayudar e informar acerca del mundo de la informática referentes a prevención ante vulnerabilidades que pongan en riesgo la seguridad de nuestro equipo, solucionar problemas a causa de infecciones por malwares, software ó hardware... etc; también podrás debatir temas y aprender a proteger nuestros equipos ante amenazas con guías o tutoriales; eso y más...!

* No te olvides de leer las Norma del Foro.
* ¿Se te hace difícil entender el foro? Entrar al Centro de Ayuda.
Importante: Por el momento el registro en el foro cuenta sin activación, es decir, no es necesario esperar que llegue un e-mail de activación a tu correo para poder acceder.
Simplemente te registras e inmediatamente te podrás conectar con tus datos registrados y listo para comenzar a participar.
¡ Que disfrutés tu experiencia en nuestro foro, tu foro !


Unirse al foro, es rápido y fácil

DonsoftST
Bienvenido/a al Foro DonsoftST creado con el propósito de ayudar e informar acerca del mundo de la informática referentes a prevención ante vulnerabilidades que pongan en riesgo la seguridad de nuestro equipo, solucionar problemas a causa de infecciones por malwares, software ó hardware... etc; también podrás debatir temas y aprender a proteger nuestros equipos ante amenazas con guías o tutoriales; eso y más...!

* No te olvides de leer las Norma del Foro.
* ¿Se te hace difícil entender el foro? Entrar al Centro de Ayuda.
Importante: Por el momento el registro en el foro cuenta sin activación, es decir, no es necesario esperar que llegue un e-mail de activación a tu correo para poder acceder.
Simplemente te registras e inmediatamente te podrás conectar con tus datos registrados y listo para comenzar a participar.
¡ Que disfrutés tu experiencia en nuestro foro, tu foro !
DonsoftST
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social

Ir abajo

03022021

Mensaje 

Información Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social




Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social  Images?q=tbn:ANd9GcR6ZNFAQLJuzeLSdwaleUKgYGSHVBHSUhJSRA&usqp=CAU

Durante los últimos meses, Threat Analysis Group ha identificado una campaña en curso dirigida a investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades en diferentes empresas y organizaciones. Los actores detrás de esta campaña, que atribuimos a una entidad respaldada por el gobierno con sede en Corea del Norte, han empleado una serie de medios para apuntar a los investigadores que describiremos a continuación. Esperamos que esta publicación recuerde a los miembros de la comunidad de investigación de seguridad que son objetivos de atacantes respaldados por el gobierno y que deben permanecer atentos al interactuar con personas con las que no han interactuado anteriormente.
Para generar credibilidad y conectarse con los investigadores de seguridad, los actores establecieron un blog de investigación y varios perfiles de Twitter para interactuar con los posibles objetivos. Han utilizado estos perfiles de Twitter para publicar enlaces a su blog, publicar videos de sus supuestos exploits y para amplificar y retuitear publicaciones de otras cuentas que controlan.

Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social  Four_twitter_profiles.max-1000x1000

El actor controla los perfiles de Twitter.

Su blog contiene reseñas y análisis de vulnerabilidades que se han divulgado públicamente, incluidas publicaciones de "invitados" de investigadores de seguridad legítimos involuntarios, probablemente en un intento de generar credibilidad adicional con otros investigadores de seguridad.

Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social  Dos2rce_border.max-1000x1000

Ejemplo de un análisis realizado por el actor sobre una vulnerabilidad divulgada públicamente.

Si bien no podemos verificar la autenticidad o el estado de funcionamiento de todos los exploits de los que han publicado videos, en al menos un caso, los actores han fingido el éxito de su pretendido exploit. El 14 de enero de 2021, los actores compartieron a través de Twitter un video de YouTube que subieron que proclamaba explotar CVE-2021-1647, una vulnerabilidad de Windows Defender recientemente parcheada. En el video, pretendían mostrar un exploit en funcionamiento exitoso que genera un shell cmd.exe, pero una revisión cuidadosa del video muestra que el exploit es falso. Varios comentarios en YouTube identificaron que el video era falso y que no se demostró un exploit funcional. Después de que se hicieron estos comentarios, los actores usaron una segunda cuenta de Twitter (que ellos controlan) para retuitear la publicación original y afirmar que "no era un video falso".

Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social  Exploit_video_tweets.max-1000x1000

Tweets que demuestran las "hazañas" de los actores


Segmentación por investigadores de seguridad


Se ha observado que los actores se dirigen a investigadores de seguridad específicos mediante un método novedoso de ingeniería social. Después de establecer las comunicaciones iniciales, los actores preguntarían al investigador objetivo si querían colaborar juntos en la investigación de vulnerabilidades y luego proporcionarían al investigador un Proyecto de Visual Studio. Dentro del proyecto de Visual Studio estaría el código fuente para explotar la vulnerabilidad, así como una DLL adicional que se ejecutaría a través de Visual Studio Build Events. La DLL es un malware personalizado que comenzaría a comunicarse de inmediato con los dominios C2 controlados por actores. En la imagen siguiente se puede ver un ejemplo del evento de compilación de VS.

Campaña busca infectar a investigadores de ciberseguridad mediante Ingeniería Social  Fig_4_tag_blog.max-1000x1000

El comando Visual Studio Build Events se ejecuta al compilar los archivos de proyecto VS proporcionados

Además de apuntar a los usuarios a través de la ingeniería social, también hemos observado varios casos en los que los investigadores se han visto comprometidos después de visitar el blog de los actores. En cada uno de estos casos, los investigadores siguieron un enlace en Twitter a un artículo alojado en blog.br0vvnn [.] Io y, poco después, se instaló un servicio malicioso en el sistema del investigador y se iniciaría una puerta trasera en la memoria. baliza a un servidor de comando y control propiedad del actor. En el momento de estas visitas, los sistemas de las víctimas estaban ejecutando versiones de navegador Windows 10 y Chrome totalmente parcheadas y actualizadas. En este momento no podemos confirmar el mecanismo de compromiso, pero agradecemos cualquier información que otros puedan tener. Las vulnerabilidades de Chrome, incluidas las que se explotan en la naturaleza (ITW), son elegibles para el pago de recompensas bajoPrograma de recompensas por vulnerabilidad de Chrome . Alentamos a cualquiera que descubra una vulnerabilidad de Chrome a informar esa actividad a través del proceso de envío de Chrome VRP.
Estos actores han utilizado múltiples plataformas para comunicarse con posibles objetivos, incluidos Twitter, LinkedIn, Telegram, Discord, Keybase y correo electrónico. A continuación, proporcionamos una lista de cuentas y alias conocidos. Si se ha comunicado con alguna de estas cuentas o ha visitado el blog de los actores, le sugerimos que revise sus sistemas para los COI que se proporcionan a continuación. Hasta la fecha, solo hemos visto a estos actores dirigidos a los sistemas Windows como parte de esta campaña.
Si le preocupa que esté siendo un objetivo, le recomendamos que compartimente sus actividades de investigación utilizando máquinas físicas o virtuales separadas para la navegación web general, interactuando con otros en la comunidad de investigación, aceptando archivos de terceros y su propia investigación de seguridad.

Sitios y cuentas controlados por actores


Blog de investigación


  • https: http://blog.br0vvnn [.] io


Cuentas de Twitter


  • https://twitter.com/br0vvnn
  • https://twitter.com/BrownSec3Labs
  • https://twitter.com/dev0exp
  • https://twitter.com/djokovic808
  • https://twitter.com/henya290 
  • https://twitter.com/james0x40
  • https://twitter.com/m5t0r
  • https://twitter.com/mvp4p3r
  • https://twitter.com/tjrim91
  • https://twitter.com/z0x55g


Cuentas de LinkedIn


  • https://www.linkedin.com/in/billy-brown-a6678b1b8/
  • https://www.linkedin.com/in/guo-zhang-b152721bb/
  • https://www.linkedin.com/in/hyungwoo-lee-6985501b9/
  • https://www.linkedin.com/in/linshuang-li-aa696391bb/
  • https://www.linkedin.com/in/rimmer-trajan-2806b21bb/


Base clave


  • https://keybase.io/zhangguo


Telegrama


  • https://t.me/james50d


Hashes de muestra


  • https://www.virustotal.com/gui/file/4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b244/detection (VS Project DLL)
  • https://www.virustotal.com/gui/file/68e6b9d71c727545095ea6376940027b61734af5c710b2985a628131e47c6af7/detection (VS Project DLL)
  • https://www.virustotal.com/gui/file/25d8ae4678c37251e7ffbaeddc252ae2530ef23f66e4c856d98ef60f399fa3dc/detection (DLL descartado del proyecto VS)
  • https://www.virustotal.com/gui/file/a75886b016d84c3eaacaf01a3c61e04953a7a3adf38acf77a4a2e3a8f544f855/detection (VS Project Dropped DLL)
  • https://www.virustotal.com/gui/file/a4fb20b15efd72f983f0fb3325c0352d8a266a69bb5f6ca2eba0556c3e00bd15/detection (DLL de servicio)


Dominios C2: propiedad del atacante


  • angeldonationblog [.] com
  • codevexillium [.] org
  • investbooking [.] de
  • krakenfolio [.] com
  • opsonew3org [.] sg
  • transferwiser [.] io
  • transplugin [.] io


Dominios C2: legítimos pero comprometidos


  • trophylab [.] com
  • www.colasprint [.] com
  • www.dronerc [.] it
  • www.edujikim [.] com
  • www.fabioluciani [.] com


URL C2


  • https [:] // angeldonationblog [.] com / image / upload / upload.php
  • https [:] // angeldonationblog [.] com / image / upload / upload.php
  • https [:] // codevexillium [.] org / image / download / download.asp
  • https [:] // investbooking [.] de / upload / upload.asp
  • https [:] // transplugin [.] io / upload / upload.asp
  • https [:] // www.dronerc [.] it / forum / uploads / index.php
  • https [:] // www.dronerc [.] it / shop_testbr / Core / upload.php
  • https [:] // www.dronerc [.] it / shop_testbr / upload / upload.php
  • https [:] // www.edujikim [.] com / intro / blue / insert.asp
  • https [:] // www.fabioluciani [.] com / es / include / include.asp
  • http [:] // trophylab [.] com / notice / images / renewal / upload.asp
  • http [:] // www.colasprint [.] com / _vti_log / upload.asp


IOC anfitriones

Claves de registro

  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ KernelConfig
  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ DriverConfig
  • Actualización de HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ SSL


Rutas de archivo



  • C: \ Windows \ System32 \ Nwsapagent.sys
  • C: \ Windows \ System32 \ helpvc.sys
  • C: \ ProgramData \ USOShared \ uso.bin
  • C: \ ProgramData \ VMware \ vmnat-update.bin
  • C: \ ProgramData \ VirtualBox \ update.bin
Don
Don
AdminFundador
AdminFundador

Masculino
El Salvador
Mensajes Mensajes : 56
Puntos Puntos : 298
Fecha de inscripción : 09/04/2010

https://www.donsoftst.com

Volver arriba Ir abajo

Compartir este artículo en : redditgoogle

 
Permisos de este foro:
No puedes responder a temas en este foro.