Kaspersky revela campaña de espionaje cibernético "Kimsuky" focalización Corea del Sur
Seguridad de Rusia firma Kaspersky Lab ha revelado que ha estado siguiendo un ataque sostenido contra Corea del Sur por los hackers aparentemente con sede en Corea del Norte.,
Esta nueva campaña de Espionaje cibernético denominada "Kimsuky" se ha centrado en varios grupos de expertos de Corea del Sur.
Los investigadores creen que la forma de distribución que el malware Kimsuky esta usando para su propagación es a través de phishing e-mails de varias cuentas de correo electrónico y de Dropbox
"Es interesante que el buzón correo representa iop110112@hotmail.com y rsh1213@hotmail.com están registrados en los siguientes nombres " kim ": kimsukyang y" Kim asdfa "
Los investigadores de Kaspersky revelaron que esta operación presenta características distintivas en su ejecución y logística.
La investigación comenzó después de que el equipo de expertos ha detectado un sofisticado programa espía que se comunicaba con él control del servidor a través de un servidor de correo público, un enfoque seguido por muchos creadores aficionados de malware .
Las Víctimas, descarga un troyano-dropper, que se utiliza para descargar malware adicional, que tiene la capacidad de realizar las siguientes funciones de espionaje, incluyendo el registro de pulsaciones de teclas, colección listado de directorio, control de acceso remoto y el robo de documentos HWP.
ALerta: K
En el inicio del sistema, la biblioteca básica deshabilita el firewall del sistema y cualquier servidor de seguridad producida por la seguridad de los productosdel proveedor AhnLab de Corea del Sur . El malware no incluye una puerta trasera personalizada, esta vez los atacantes han modificados un cliente TeamViewer como un módulo de control remoto.
Los agentes Bot piden comunicarse con C & C a través del servidor de correo electrónico gratuito basado en una web búlgara (mail.bg), mantiene una potente credencial codificadas con su cuenta de correo electrónico.
Después de la autenticación, el malware envía mensajes de correo electrónico a otra dirección de correo electrónico especificada, y lee mensajes de correo electrónico de la Bandeja de entrada.
La Campaña de espionaje parece que se originó en Corea del Norte.
Los investigadores identificaron 10 direcciones IP que indican que los atacantes utilizan redes de Jilin de China y las provincias de Liaoning, en la frontera con Corea del Norte.
Los atacantes estaban interesadosen 11 organizaciones con sede en Corea del Sur y dos entidades en China, incluyendo el Instituto Sejong, Corea del Instituto de Análisis de Defensa (KIDA) del Ministerio de Unificación, Hyundai Merchant Marine y los partidarios de la unificación coreana de Corea del Sur.
fuente : http://t.co/cO6nSQfKav
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias