Nuevo Informe de FireEye sobre APT37 (Reaper): el desapercibido grupo norcoreano de ciberespionaje

APT37 (Reaper)

Nuestro análisis de las actividades recientes de APT37 revela que las operaciones del grupo se están expandiendo tanto en alcance como en sofisticación, con un conjunto de herramientas que incluyen el acceso a vulnerabilidades día cero y malware de borrado.

Evaluamos con gran confianza que esta actividad está siendo llevada a cabo en nombre del gobierno norcoreano, puesto que los objetivos y el desarrollo de los artefactos de malware están alineados con los intereses del Estado norcoreano. FireEye iSIGHT Intelligence cree que APT37 está alineado con la actividad comunicada públicamente de Scarcruft y Grupo 123.

En nuestro informe en inglés APT37 (Reaper): el grupo de ciberespionaje norcoreano expande sus objetivos y capacidades, se encuentra nuestra evaluación más completa sobre este agente de ciberamenazas que está trabajando en nombre del gobierno norcoreano, así como otros detalles sobre sus operaciones:

Objetivos de los ataques: Principalmente Corea del Sur (aunque también Japón, Vietnam y Oriente Medio) en varios sectores verticales de la industria incluyendo los sectores químico, electrónico y tecnológico, industrial, aeroespacial, de la automoción y sanitario.

Tácticas de infección iniciales: tácticas de ingeniería social diseñadas específicamente para los objetivos deseados, comprometer la seguridad de sitios web por motivos estratégicos, lo que es característico de las operaciones de ataque de ciberespionaje, y el uso de sitios web para compartir archivos “torrent” para distribuir malware de manera más indiscriminada.

Explotar vulnerabilidades: la frecuente explotación o aprovechamiento de vulnerabilidades en el procesador de Word Hangul (HWP), así como Adobe Flash. El grupo ha demostrado su acceso a vulnerabilidades día cero (CVE-2018-0802) y la capacidad de incorporarlas en sus operaciones.

Infraestructura de mando y control: servidores comprometidos, plataformas de mensajería y proveedores de servicios en la nube para evitar la detección. El grupo ha mostrado una sofisticación creciente al mejorar su seguridad operacional a lo largo del tiempo.

Malware: una amplia variedad de malware para la intrusión inicial y la extracción de datos. Además de malware personalizado usado para el espionaje, APT37 también tiene acceso a malware destructivo.




[Total:0    Promedio:0/5]
Acerca del autor
Dani

Dani

Dani, responsable de interte.com Redactor Jefe de las noticias de internet y tecnología de interte.com desde 2015