O pessoal encarregado de defender a rede de conferências Black Hat vê muitas atividades estranhas, às vezes hostis, e este ano incluiu malware vinculado aos agentes de Kim Jong-un.
Em seu segundo ano ajudando a proteger o Centro de Operações de Rede (NOC) do evento infosec, a equipe da IronNet disse que sinalizou 31 alertas maliciosos e 45 eventos altamente suspeitos, de acordo com o relatório post-mortem da equipe. o malware detectado na Black Hat se destina a infectar dispositivos e realizar atos nefastos – alguns deles decorrem de ataques simulados em salas de aula e no salão de exposições. Assim, embora a atividade do Tor e o encapsulamento de DNS provavelmente iriam, e devam, disparar alarmes em uma rede corporativa, na conferência de segurança cibernética eles se revelaram um comportamento regular dos participantes e demonstrações de fornecedores.
No entanto, a empresa de segurança caçadores – Peter Rydzynski, Austin Tippett, Blake Cahen, Michael Leardi, Keith Li e Jeremy Miller – disseram que descobriram “várias” infecções de malware ativo na rede, incluindo Shlayer, SHARPEXT atribuído à Coreia do Norte e NetSupport RAT.
Vamos começar com o código que tem ligações com o próprio Líder Supremo.
“Durante a conferência, observamos inúmeras chamadas de quatro hosts exclusivos para três domínios associados ao norte-coreano malware SHARPEXT”, documentaram os caçadores de ameaças.
A Volexity, no final de julho, vinculou esse malware de roubo de e-mail à equipe Kimsuky apoiada por Pyongyang, também conhecida como SharpTongue. É notável porque, em vez de roubar as credenciais de e-mail dos usuários, o malware – que é basicamente uma extensão maliciosa para navegadores baseados no Chromium – lê mensagens e extrai dados das contas de webmail das vítimas enquanto elas folheiam suas caixas de entrada. A extensão SHARPEXT é normalmente instalada no PC com Windows da vítima depois de comprometida por alguma outra vulnerabilidade ou rota de infecção.
“Dado o interesse demonstrado pelos agentes de ameaças norte-coreanos em comprometer pesquisadores de segurança nos últimos dois anos , nossa observação do malware norte-coreano SHARPEXT na rede Black Hat é notável por si só devido ao seu uso por tantos pesquisadores cibernéticos e funcionários de segurança”, segundo a equipe da IronNet.
No entanto, eles admitem que as consultas DNS aos servidores de comando e controle SHARPEXT permanecem “intricadas”. Embora tenha havido respostas de DNS bem-sucedidas desses domínios, não houve nenhuma comunicação de saída após a pesquisa de DNS.
“É possível que a filtragem geográfica estivesse em jogo aqui, mas não é assim que esperávamos para ver isso feito e não algo que vemos frequentemente usando o DNS”, teorizaram os caçadores. “Portanto, não temos uma boa resposta para o motivo dessa atividade.”
