Danny Palmer en ZDNet tuvo la primicia: "Una campaña de ciberespionaje está dirigida a los think tanks de seguridad nacional e instituciones académicas de los EE. UU. En lo que se cree que es una operación de recopilación de inteligencia por parte de un grupo de piratería que trabaja en Corea del Norte.
Una serie de ataques de phishing que usan correos electrónicos falsos con archivos adjuntos maliciosos intentan entregar una nueva familia de malware, que los investigadores de Palo Alto Networks han identificado y bautizado como BabyShark. La campaña comenzó en noviembre y se mantuvo activa al menos en el nuevo año.
Entre los objetivos conocidos identificados por los investigadores se encuentran una universidad estadounidense que planea una conferencia sobre la desnuclearización de Corea del Norte y un instituto de investigación que actúa como un grupo de expertos sobre seguridad nacional.
Los correos electrónicos de suplantación de identidad (phishing) están diseñados para que parezcan enviados por un experto en seguridad que trabaja como consultor de seguridad nacional en todo EE. UU. E incluye temas que hacen referencia a problemas nucleares de Corea del Norte, así como temas de seguridad más amplios.
Como parte de una campaña de recolección de inteligencia, el objetivo del malware es monitorear el sistema infectado y recopilar datos.
El análisis de BabyShark revela conexiones con otras supuestas campañas de piratería norcoreanas Stolen Pencil y KimJongRAT. BabyShark está firmado con el mismo certificado de firma de código robado utilizado en la campaña del lápiz robado, y las dos formas de malware son las únicas dos que se sabe que lo usan.
Mientras tanto, BabyShark y KimJongRAT usan la misma ruta de archivo para almacenar la información recopilada y los que están detrás de BabyShark parecen haber probado muestras de detección de virus junto con muestras recién compiladas de KimJongRAT.
Los archivos de señuelos utilizados en un intento de entregar KimJongRAT, que también siguen un tema muy similar a los utilizados en la campaña de BabyShark, se relacionan con Corea del Norte, disuasión nuclear y conferencias sobre asuntos asiáticos.
Todo esto ha llevado a los investigadores a la conclusión de que BabyShark es otra campaña de piratería de Corea del Norte, una que está intentando vigilar de cerca los objetivos especialmente seleccionados.
"Los correos electrónicos y señuelos de phishing de spear bien diseñados sugieren que el actor de amenazas está bien al tanto de los objetivos y también vigila de cerca los eventos comunitarios relacionados para recopilar la información más reciente", dijeron los investigadores.
Fuente: Knowbe4
Comments