Nueva campaña de Phishing con Seguridad Nacional como objetivo

Una nueva campaña de ciberespionaje ha tomado como objetivo la Seguridad Nacional y a instituciones académicas de EEUU, se cree que esta operación está siendo llevada a cabo por un grupo de hackers provenientes de Corea del norte. Como en otros casos, el ataque ha utilizado la técnica del spear phishing que consiste en el envió de e-mails que contienen nuevos malwares como BabyShark. Se sabe que esta nueva campaña comenzó a lo largo de noviembre y fue descubierta a comienzos de año, por el momento parece seguir estando activa.

Los e-mails en cuestión están diseñados para parecer enviado por un experto en seguridad que trabaja de consultor en seguridad nacional y que aborda varios temas importantes de seguridad incluyendo el tema nuclear. Mientras que gran parte del contenido de estos e-mails es publicidad que se puede encontrar en internet, los atacantes también utilizan contenido que no es público, algo que sugiere que esta campaña de phishing ya se ha cobrado alguna victima con acceso a documentos importantes. Como en la mayoría de los ataques phishing la campaña se centra en engañar a los usuarios para que activen los macros y así dejen actual a algunos malwares como BabyShark, un malware que al comunicarse con un servidor de control obtiene la clave para mantener su acceso a la red.

Figura 1: Esquema de funcionamiento de BabyShark

Un reciente análisis realizado a BabyShark ha revelado su conexión con otras campañas de hacking norcoreano como la de KimJongRAT, con la que se cree que comparte una base de datos en la que se almacena un gran volumen de información recogida por ambos malware. Por el momento se cree que BabyShark es otro malware norcoreano que forma parte de una campaña de hacking en la que los objetivos han sido especialmente seleccionados por la información confidencial y delicada con la que tratan.