Blog

Lazarus Group ha estado utilizando la vulnerabilidad CVE-2022-0609 para comprometer a empresas de EE.UU

El Grupo de Análisis de Amenazas (TAG) de Google reveló el jueves que actuó para mitigar las amenazas de dos grupos de atacantes respaldados por el gobierno de Corea del Norte, que logaron explotar una falla de seguridad que permitía la ejecución remota de código (RCE) recientemente descubierta en el navegador web, Google Chrome.

Se teoriza que las campañas, una vez más estas acciones reflejan las preocupaciones y prioridades inmediatas del régimen norcoreano, esto es debido a que los principales objetivos son a organizaciones con sede en Estados Unidos y que abarcan los medios de comunicación, el sector TI, criptomonedas e industrias fintech, con un conjunto de actividades que comparten superposiciones directas de infraestructura con ataques anteriores dirigidos a investigadores de ciberseguridad durante el año 2021.

La vulnerabilidad en cuestión es la CVE-2022-0609, una vulnerabilidad de uso después de la liberación en el componente Animación del navegador, el cual fue abordado como parte de las actualizaciones (versión 98.0.4758.102) emitidas el 14 de febrero de 2022. También es la primera falla Zero-Day en ser parcheada por Google desde principios de 2022.

El uso de listados de trabajo falsos es una táctica probada en el tiempo por el grupo Lazarus, que, a principios de enero, se encontró haciéndose pasar por la compañía estadounidense de seguridad global y aeroespacial Lockheed Martin para distribuir Payloads de malware para apuntar a personas que buscan trabajo en la industria aeroespacial y de defensa.

Flujo de Infección con relación a la campaña de trabajos falsos en Lockheed Martin.
Imagen: MalwareBytes

«La evidencia más temprana que tenemos de que este kit de explotación se está implementando activamente es el 4 de enero de 2022«, dijo el investigador de Google TAG Adam Weidemann en un informe. «Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahí el uso del mismo kit de explotación, pero cada uno opera con un conjunto de misiones diferente y despliega diferentes técnicas«.

El kit de explotación, según Google TAG, está diseñado como una cadena de infección de múltiples etapas que implica incrustar el código de ataque dentro de marcos ocultos de Internet, tanto en sitios web comprometidos como en sitios web de baja reputación, bajo su control.

La etapa inicial abarcó una fase de reconocimiento para tomar las huellas dactilares de las máquinas objetivo que luego fue seguida por el servicio del exploit de ejecución remota de código (RCE), que, cuando tuvo éxito, condujo a la recuperación de un paquete de segunda etapa diseñado para escapar de un SandBox y llevar a cabo más actividades posteriores a la explotación.

Google TAG, que descubrió las campañas el 10 de febrero, señaló que era «incapaz de recuperar ninguna de las etapas que siguieron al RCE inicial«, enfatizando que los actores de amenazas hicieron uso de varias trabas para no ser identificados, incluido el uso del cifrado AES, diseñado explícitamente para esconder sus huellas y dificultar la recuperación para los investigadores o el personal de seguridad.

Además, las campañas verificaron a los visitantes que usaban navegadores no basados en Chromium, como Safari en macOS o Mozilla Firefox (en cualquier sistema operativo), redirigiendo a las víctimas a enlaces específicos en servidores de explotación conocidos. No está claro de inmediato si alguno de esos intentos fue fructífero.

Los hallazgos se producen cuando la compañía de inteligencia de amenazas Mandiant, mapeó diferentes subgrupos de Lazarus y a varias organizaciones gubernamentales en Corea del Norte, incluida la Oficina General de Reconocimiento, el Departamento del Frente Unido (UFD) y el Ministerio de Seguridad del Estado (MSS).

«El aparato de inteligencia de Corea del Norte posee la flexibilidad y la resiliencia para crear unidades cibernéticas basadas en las necesidades del país«, dijeron los investigadores de Mandiant. «Además, las superposiciones en infraestructura, malware y tácticas, técnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibernéticas«.

Estructura cibernética evaluada de los programas cibernéticos de la RPDC
Diagrama de los diferentes Subgrupos de Lazarus con departamentos estratégicos de Corea del Norte.
Imagen: Mandiant

Más Información

https://www.mandiant.com/resources/mapping-dprk-groups-to-government

https://www.virustotal.com/gui/file/03a41d29e3c9763093aca13f1cc8bcc41b201a6839c381aaaccf891204335685

https://blog.google/threat-analysis-group/countering-threats-north-korea/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required