Seleccionar página

Hay norcoreanos en la despensa de Corea del Sur

El equipo de investigación de seguridad de Kaspersky Lab ha publicado su último informe sobre una campaña activa de ciberespionaje, que se dirige principalmente a centros de investigación en Corea del Sur.

800px-Kaspersky Lab_logo.svg

La campaña, descubierta por los investigadores de Kaspersky Lab, se llama Kimsuky, una campaña de ciberdelincuencia muy limitada y altamente dirigida, gracias al hecho de que los atacantes detectaron solo 11 organizaciones con sede en Corea del Sur y otros dos institutos chinos, incluido el Instituto de Investigación de Defensa de Corea. (KIDA), el Ministerio de Unificación de Corea del Sur, una empresa llamada Hyundai Merchant Marine y grupos que apoyan la unificación de Corea.

 

Los primeros signos del ataque pueden estar fechados el 2013 de abril de 3 y el primer virus troyano Kimsuky apareció el 5 de mayo. Este sencillo software espía contiene una serie de errores básicos de codificación y gestiona la comunicación con las máquinas infectadas a través de un servidor de correo electrónico gratuito basado en web (mail.bg) en Bulgaria.

Aunque aún no se conoce el mecanismo de implementación y distribución inicial, los investigadores de Kaspersky Lab creen que es probable que el virus Kimsuky se propague a través de correos electrónicos de phishing, que tienen las siguientes funciones de espionaje: registrador de teclas, captura de lista de directorios, acceso remoto y robo de archivos HWP. Los atacantes utilizan una versión modificada del programa TeamViewer para acceso remoto como puerta trasera para robar archivos en máquinas infectadas.

Los expertos de Kaspersky Lab han encontrado pistas de que es probable que los atacantes sean norcoreanos. Los perfiles dirigidos a virus hablan por sí mismos: primero, se dirigieron a universidades surcoreanas que están realizando investigaciones en relaciones internacionales, política de defensa del gobierno y grupos de examen que apoyan la fusión de la compañía naviera nacional y Corea.

En segundo lugar, el código del programa contiene palabras coreanas que incluyen "ataque" y "fin".

En tercer lugar, las dos direcciones de correo electrónico a las que los bots envían informes de estado e información sobre sistemas infectados en archivos adjuntos de correo: GME@dhr-rgv.com és GME@dhr-rgv.com - registrado con los nombres que comienzan con 'kim': 'kimsukyang' y 'Kim asdfa'.

Aunque los datos registrados no contienen información objetiva sobre los atacantes, la fuente de su dirección IP coincide con el perfil: las 10 direcciones IP pertenecen a la red de las provincias de Jilin y Liaoning en China. Se sabe que estas redes ISP están disponibles en algunas áreas de Corea del Norte.

Sobre el Autor

s3nki

Propietario del sitio web HOC.hu. Es autor de cientos de artículos y miles de noticias. Además de varias interfaces en línea, ha escrito para Chip Magazine y también para PC Guru. Dirigió su propia tienda de PC durante un tiempo, trabajando durante años como gerente de tienda, gerente de servicio, administrador de sistemas, además de periodismo.

Kupónok

Banggood

Banggood

BG62ad9d
Base de carga para casco Meta Quest VR, barra de luz LED, manijas para auriculares, estante de almacenamiento con agarre, accesorios VR para Quest 3

Base de carga para casco Meta Quest VR, barra de luz LED, manijas para auriculares, estante de almacenamiento con agarre, accesorios VR para Quest 3

BG716bdb
[DIRECTO UE] Bezior X500 Pro 10.4AH 48V 500W Bicicleta eléctrica Bicicleta eléctrica 100 km Kilometraje en modo de asistencia Carga máxima 200 kg

[DIRECTO UE] Bezior X500 Pro 10.4AH 48V 500W Bicicleta eléctrica Bicicleta eléctrica 100 km Kilometraje en modo de asistencia Carga máxima 200 kg

BGISSAM0112

bandera