El APT137 incrementa el alcance de sus operaciones de ciber espionaje

El APT137 incrementa el alcance de sus operaciones de ciber espionaje

Las industrias objetivo incluyen aeroespacial y defensa, gobierno, medios y entretenimiento.

FireEye reveló la vulnerabilidad del día-cero de Adobe Flash (CVE-2018-4878) impulsada por un grupo de ciber espionaje de Corea del Norte identificado como APT137 (Reaper).

Durante el análisis de recientes actividades del APT137, se ha encontrado que las operaciones del grupo se han expandido en rango y sofisticación, desde un conjunto de herramientas incluyendo acceso a vulnerabilidades día-cero y anti-malware.

Los investigadores de FireEye evaluaron que las actividades se llevan a cabo, de parte del gobierno Norcoreano, con el desarrollo de artefactos de malware alineados con los intereses del Estado de Corea del Norte. FireEye iSIGHT Intelligence cree que el APT137 es consistente con la actividad reportada públicamente como Scarcruft y Grup123.

Las operaciones del APT137, además de su proximidad con el gobierno de Corea del Norte, presentan cinco aspectos específicos:

  1. Segmentación: Mientras que apunta a varios sectores industriales, incluyendo químicos, electrónicos, manufactura, aeroespacial, automotriz y salud de Japón, Vietnam y el Medio Oriente, su zona de enfoque está en Corea del Sur.
  2. Tácticas de Infección Inicial: Las técnicas de ingeniería social están hechas a la medida específicamente para los blancos deseados, como las relaciones estratégicas por la web típicas de las operaciones de ciber-espionaje específico, y el uso de sitios web que contienen reparto de archivos torrent para distribuir el malware más indiscriminadamente.
  3. Vulnerabilidades explotadas: Las vulnerabilidades del procesador de palabras Hangul (HWP) así como las de Adobe Flash son explotadas frecuentemente. El grupo demostró acceso a vulnerabilidades de día-cero (CVE-2018-0802) y la habilidad para incorporarlas en sus operaciones.
  4. Infraestructura de comando y control: Servidores comprometidos, plataformas de mensajería y proveedores de servicios de nube son utilizados para evitar la detección. El grupo demuestra una sofisticación creciente, mejorando su seguridad operacional a lo largo del tiempo, que han estado monitoreando.
  5. Malware: Hay un conjunto diverso de malware para intrusión inicial y exfiltración. Junto con el malware personalizado usado para propósitos de espionaje, el APT137 también tiene acceso a uno que es destructivo.
Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


América Latina está lejos del ideal en materia de espectro radioeléctrico

La falta de espectro suficiente para el desarrollo de los servicios inalámbricos tiene consecuencias negativas para los consumidores y limita...

Cerrar