El Grupo de Análisis de Amenazas (TAG) de Google reveló el jueves que actuó para mitigar las amenazas de dos grupos de atacantes respaldados por el gobierno de Corea del Norte, que logaron explotar una falla de seguridad que permitía la ejecución remota de código (RCE) recientemente descubierta en el navegador web, Google Chrome.
Se teoriza que las campañas, una vez más estas acciones reflejan las preocupaciones y prioridades inmediatas del régimen norcoreano, esto es debido a que los principales objetivos son a organizaciones con sede en Estados Unidos y que abarcan los medios de comunicación, el sector TI, criptomonedas e industrias fintech, con un conjunto de actividades que comparten superposiciones directas de infraestructura con ataques anteriores dirigidos a investigadores de ciberseguridad durante el año 2021.
La vulnerabilidad en cuestión es la CVE-2022-0609, una vulnerabilidad de uso después de la liberación en el componente Animación del navegador, el cual fue abordado como parte de las actualizaciones (versión 98.0.4758.102) emitidas el 14 de febrero de 2022. También es la primera falla Zero-Day en ser parcheada por Google desde principios de 2022.
El uso de listados de trabajo falsos es una táctica probada en el tiempo por el grupo Lazarus, que, a principios de enero, se encontró haciéndose pasar por la compañía estadounidense de seguridad global y aeroespacial Lockheed Martin para distribuir Payloads de malware para apuntar a personas que buscan trabajo en la industria aeroespacial y de defensa.
Imagen: MalwareBytes
«La evidencia más temprana que tenemos de que este kit de explotación se está implementando activamente es el 4 de enero de 2022«, dijo el investigador de Google TAG Adam Weidemann en un informe. «Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahí el uso del mismo kit de explotación, pero cada uno opera con un conjunto de misiones diferente y despliega diferentes técnicas«.
El kit de explotación, según Google TAG, está diseñado como una cadena de infección de múltiples etapas que implica incrustar el código de ataque dentro de marcos ocultos de Internet, tanto en sitios web comprometidos como en sitios web de baja reputación, bajo su control.
La etapa inicial abarcó una fase de reconocimiento para tomar las huellas dactilares de las máquinas objetivo que luego fue seguida por el servicio del exploit de ejecución remota de código (RCE), que, cuando tuvo éxito, condujo a la recuperación de un paquete de segunda etapa diseñado para escapar de un SandBox y llevar a cabo más actividades posteriores a la explotación.
Google TAG, que descubrió las campañas el 10 de febrero, señaló que era «incapaz de recuperar ninguna de las etapas que siguieron al RCE inicial«, enfatizando que los actores de amenazas hicieron uso de varias trabas para no ser identificados, incluido el uso del cifrado AES, diseñado explícitamente para esconder sus huellas y dificultar la recuperación para los investigadores o el personal de seguridad.
Además, las campañas verificaron a los visitantes que usaban navegadores no basados en Chromium, como Safari en macOS o Mozilla Firefox (en cualquier sistema operativo), redirigiendo a las víctimas a enlaces específicos en servidores de explotación conocidos. No está claro de inmediato si alguno de esos intentos fue fructífero.
Los hallazgos se producen cuando la compañía de inteligencia de amenazas Mandiant, mapeó diferentes subgrupos de Lazarus y a varias organizaciones gubernamentales en Corea del Norte, incluida la Oficina General de Reconocimiento, el Departamento del Frente Unido (UFD) y el Ministerio de Seguridad del Estado (MSS).
«El aparato de inteligencia de Corea del Norte posee la flexibilidad y la resiliencia para crear unidades cibernéticas basadas en las necesidades del país«, dijeron los investigadores de Mandiant. «Además, las superposiciones en infraestructura, malware y tácticas, técnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibernéticas«.
Imagen: Mandiant
Más Información
https://www.mandiant.com/resources/mapping-dprk-groups-to-government
https://www.virustotal.com/gui/file/03a41d29e3c9763093aca13f1cc8bcc41b201a6839c381aaaccf891204335685
https://blog.google/threat-analysis-group/countering-threats-north-korea/
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
