AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**BlueNoroff intensifica ataques GhostCall y GhostHire contra desarrolladores y ejecutivos del sector cripto**

admin

### Introducción

Durante el primer semestre de 2024, el grupo APT BlueNoroff, considerado una de las filiales más activas y especializadas del conglomerado Lazarus, ha desplegado dos operaciones de ciberespionaje y robo financiero dirigidas específicamente a desarrolladores y altos ejecutivos del ecosistema de criptomonedas. Las campañas, denominadas GhostCall y GhostHire, han puesto en alerta a SOCs, CISOs y equipos de respuesta a incidentes de organizaciones vinculadas a la tecnología blockchain y las finanzas descentralizadas (DeFi).

### Contexto del Incidente o Vulnerabilidad

BlueNoroff, atribuido al régimen norcoreano, es conocido por su enfoque en la obtención de fondos ilícitos mediante campañas de spear-phishing y ataques de malware altamente dirigidos. La reciente ola de ataques GhostCall y GhostHire tiene como objetivos principales a profesionales con acceso privilegiado a sistemas de gestión de criptoactivos y carteras empresariales. Estas campañas se enmarcan en una tendencia de sofisticación creciente, donde los atacantes priorizan la ingeniería social avanzada y el despliegue de malware personalizado.

En ambos casos, los vectores iniciales aprovechan el contacto directo a través de plataformas profesionales como LinkedIn, GitHub y correos electrónicos corporativos, simulando oportunidades laborales o colaboraciones técnicas, lo que aumenta la tasa de éxito en el compromiso inicial.

### Detalles Técnicos

#### Campaña GhostCall

GhostCall se caracteriza por el uso de archivos adjuntos maliciosos en mensajes que simulan propuestas legítimas de trabajo para desarrolladores blockchain. Los documentos, en formato Microsoft Word o PDFs con macros embebidas, explotan vulnerabilidades conocidas (como CVE-2017-11882 y CVE-2021-40444) para ejecutar código arbitrario en los sistemas de las víctimas. El payload principal es un backdoor personalizado que permite a los atacantes el control remoto y la exfiltración de datos sensibles.

– **CVE explotadas:** CVE-2017-11882, CVE-2021-40444
– **Herramientas observadas:** Uso de frameworks como Metasploit para explotación inicial y Cobalt Strike para persistencia y movimiento lateral.
– **TTPs MITRE ATT&CK relevantes:** Spearphishing Attachment (T1566.001), Exploitation for Client Execution (T1203), Command and Control over Web Protocols (T1071.001).
– **IoC:** Dominios de C2 falsos que imitan servicios legítimos (por ejemplo, github-cdn[.]com), hashes de archivos maliciosos y patrones de tráfico anómalo hacia IPs asociadas a BlueNoroff.

#### Campaña GhostHire

GhostHire, por su parte, se dirige principalmente a ejecutivos y directivos del sector cripto bajo la apariencia de procesos de headhunting o inversión. El vector de ataque es similar, pero los payloads incluyen troyanos bancarios y herramientas de screen-capturing, capaces de monitorizar transacciones en tiempo real y robar credenciales de acceso a wallets y exchanges.

– **Vectores adicionales:** Archivos comprimidos protegidos con contraseña enviados tras la interacción inicial.
– **Persistencia:** Modificación de registros de inicio en Windows y uso de scheduled tasks para reejecución del malware.
– **Detección:** Utilización de técnicas anti-forensics, como borrado de logs y cifrado de comunicaciones.

### Impacto y Riesgos

El impacto de GhostCall y GhostHire es considerable: se estima que más de 70 organizaciones vinculadas a la industria cripto han sido objeto de intentos de intrusión, con pérdidas económicas que superan los 60 millones de dólares solo en lo que va de año. El compromiso de cuentas privilegiadas implica riesgos críticos, como robo directo de activos digitales, manipulación de contratos inteligentes y filtración de información sensible sobre estrategias empresariales.

Además, la capacidad de los atacantes para evadir controles tradicionales de seguridad y su uso de técnicas living-off-the-land (LOTL) dificulta la detección por soluciones EDR convencionales.

### Medidas de Mitigación y Recomendaciones

– **Actualización de software:** Parchear de inmediato todas las vulnerabilidades conocidas, especialmente en clientes de Microsoft Office y sistemas operativos Windows.
– **Formación en seguridad:** Reforzar la concienciación sobre spear-phishing y ataques dirigidos entre perfiles técnicos y directivos.
– **Segmentación de red:** Limitar el acceso a sistemas críticos y carteras digitales mediante políticas de mínimo privilegio.
– **MFA y gestión de accesos:** Implementar autenticación multifactor en todos los sistemas sensibles y monitorizar accesos inusuales.
– **Detección avanzada:** Desplegar soluciones de EDR/XDR con capacidades de hunting proactivo para identificar comportamientos anómalos asociados a BlueNoroff.
– **IOC y listas negras:** Mantener actualizados los indicadores de compromiso y aplicar listas negras en firewalls y proxies.

### Opinión de Expertos

Especialistas en ciberinteligencia como Costin Raiu (Kaspersky) y Jake Williams (SANS) coinciden en que la profesionalización de BlueNoroff representa una amenaza persistente para el sector cripto. Subrayan que la inversión en tecnologías de detección avanzada y la colaboración intersectorial para compartir indicadores de compromiso son esenciales para mitigar el impacto de este tipo de campañas.

### Implicaciones para Empresas y Usuarios

Desde la perspectiva de cumplimiento normativo, incidentes como GhostCall y GhostHire pueden suponer la notificación obligatoria a autoridades reguladoras bajo el RGPD y, a partir de 2024, la nueva Directiva NIS2, que amplía los requisitos de ciberresiliencia para sectores críticos, incluyendo fintech y blockchain. Para las empresas, la gestión de incidentes y la protección de datos de clientes adquieren una dimensión estratégica, tanto en términos de reputación como de responsabilidad legal.

### Conclusiones

El resurgimiento de BlueNoroff y sus campañas GhostCall y GhostHire evidencian la necesidad de estrategias de defensa multicapa y una vigilancia constante en el ecosistema cripto. La sofisticación de estos ataques, combinada con la rapidez de adaptación del actor, obliga a los responsables de seguridad a adoptar medidas preventivas, fortalecer la formación interna y colaborar estrechamente con la comunidad de ciberseguridad internacional.

(Fuente: www.kaspersky.com)