Los actores del estado-nación de Corea del Norte afiliados a la Oficina General de Reconocimiento (RGB) han sido atribuidos al hackeo de JumpCloud luego de un error de seguridad operativa (OPSEC) que expuso su dirección IP real.
La firma de inteligencia de amenazas propiedad de Google, Mandiant, atribuyó la actividad a un actor de amenazas que rastrea con el nombre UNC4899, que probablemente comparte superposiciones con grupos que ya están siendo monitoreados como Jade Sleet y TraderTraitor, un grupo con un historial de huelgas en los sectores de blockchain y criptomonedas.
UNC4899 también se superpone con APT43, otro equipo de piratería asociado con la República Popular Democrática de Corea (RPDC) que fue desenmascarado a principios de marzo mientras realizaba una serie de campañas para recopilar inteligencia y desviar criptomonedas de empresas objetivo.
El modus operandi del colectivo adversario se caracteriza por el uso de Cajas de Relevos Operacionales (ORB) usando túneles L2TP IPsec junto con proveedores comerciales de VPN para disfrazar el verdadero punto de origen del atacante, con servicios comerciales de VPN actuando como el salto final.
«Ha habido muchas ocasiones en las que los actores de amenazas de la RPDC no emplearon este último salto, o por error no lo utilizaron mientras realizaban acciones en operaciones en la red de la víctima», dijo la compañía. dicho en un análisis publicado el lunes, agregando que observó «UNC4899 conectándose directamente a un ORB controlado por un atacante desde su 175.45.178[.]0/24 subred».
La intrusión dirigida contra JumpCloud tuvo lugar el 22 de junio de 2023, como parte de un sofisticada campaña de spear-phishing que aprovechó el acceso no autorizado para violar a menos de cinco clientes y menos de 10 sistemas en lo que se denomina un ataque a la cadena de suministro de software.
Los hallazgos de Mandiant se basan en una respuesta a incidentes iniciada después de un ataque cibernético contra uno de los clientes afectados de JumpCloud, una entidad de soluciones de software sin nombre, cuyo punto de partida es un script malicioso de Ruby («init.rb») ejecutado a través del agente de JumpCloud el 27 de junio de 2023.
Un aspecto notable del incidente es su objetivo de cuatro sistemas Apple que ejecutan macOS Ventura versiones 13.3 o 13.4.1, lo que subraya la continua inversión de los actores norcoreanos en perfeccionar malware especialmente diseñado para la plataforma en los últimos meses.
«El acceso inicial se obtuvo al comprometer a JumpCloud e insertar un código malicioso en su marco de comandos», explicó la compañía. «En al menos un caso, el código malicioso era un script ligero de Ruby que se ejecutaba a través del agente JumpCloud».
El script, por su parte, está diseñado para descargar y ejecutar un payload de segunda etapa llamado FULLHOUSE.DOORED, usándolo como un conducto para implementar malware adicional como STRATOFEAR y TIEDYE, después de lo cual los payloads anteriores se eliminaron del sistema en un intento de encubrir las huellas:
- FULLHOUSE.DOORED – Puerta trasera de primera etapa basada en AC/C++ que se comunica mediante HTTP y viene con soporte para la ejecución de comandos de shell, transferencia de archivos, administración de archivos e inyección de procesos
- ESTRATOFEAR – Un implante modular de segunda etapa diseñado principalmente para recopilar información del sistema, así como para recuperar y ejecutar más módulos desde un servidor remoto o cargado desde un disco.
- TIEDYE – Un ejecutable Mach-O de segunda etapa que puede comunicarse con un servidor remoto para ejecutar cargas útiles adicionales, recopilar información básica del sistema y ejecutar comandos de shell
También se dice que TIEDYE exhibe similitudes con RABBITHUNT, una puerta trasera escrita en C++ que se comunica a través de un protocolo binario personalizado sobre TCP y que es capaz de invertir shell, transferir archivos, crear y terminar procesos.
«La campaña dirigida a JumpCloud y el compromiso de la cadena de suministro de la RPDC informado anteriormente a principios de este año que afectó a la aplicación X_TRADER de Trading Technologies y al software de la aplicación de escritorio 3CX, ejemplifica los efectos en cascada de estas operaciones para obtener acceso a los proveedores de servicios a fin de comprometer a las víctimas posteriores», dijo Mandiant.
«Ambas operaciones tienen vínculos sospechosos con actores de la RPDC motivados financieramente, lo que sugiere que los operadores de la RPDC están implementando TTP de la cadena de suministro para apuntar a entidades seleccionadas como parte de los mayores esfuerzos para apuntar a las criptomonedas y los activos relacionados con fintech».
El desarrollo se produce días después de que GitHub advirtiera sobre un ataque de ingeniería social montado por el actor TraderTraitor para engañar a los empleados que trabajan en empresas de cadenas de bloques, criptomonedas, apuestas en línea y seguridad cibernética para que ejecuten código alojado en un repositorio de GitHub que dependía de paquetes maliciosos alojados en npm.
Se ha descubierto que la cadena de infección aprovecha las dependencias maliciosas de npm para descargar una carga útil de segunda etapa desconocida desde un dominio controlado por un actor. Desde entonces, los paquetes han sido retirados y las cuentas suspendidas.
«Los paquetes identificados, publicados en pares, requerían instalación en una secuencia específica, recuperando posteriormente un token que facilitó la descarga de una carga útil maliciosa final desde un servidor remoto», Phylum dicho en un nuevo análisis que detalla el descubrimiento de nuevos módulos npm utilizados en la misma campaña.
«La amplia superficie de ataque que presentan estos ecosistemas es difícil de ignorar. Es prácticamente imposible para un desarrollador en el mundo de hoy no confiar en ningún paquete de código abierto. Esta realidad suele ser explotada por actores de amenazas que buscan maximizar su radio de explosión para la distribución generalizada de malware, como ladrones o ransomware».
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Pyongyang ha utilizado durante mucho tiempo robos de criptomonedas para impulsar su programa de armas nucleares sancionado, al tiempo que organiza ataques de ciberespionaje para recopilar inteligencia estratégica en apoyo de las prioridades políticas y de seguridad nacional del régimen.
«El aparato de inteligencia de Corea del Norte posee la flexibilidad y la resiliencia para crear unidades cibernéticas basadas en las necesidades del país», Mandiant anotado el año pasado. «Además, las superposiciones en infraestructura, malware y tácticas, técnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibernéticas».
El Grupo Lazarus sigue siendo un prolífico actor de amenazas patrocinado por el estado en este sentido, lanzando constantemente ataques que están diseñados para entregar de todo, desde troyanos de acceso remoto hasta ransomware y puertas traseras especialmente diseñadas, y también demostrando una disposición para cambiar tácticas y técnicas para obstaculizar el análisis y hacer que su seguimiento sea mucho más difícil.
Esto se ejemplifica por su capacidad no solo para comprometer los servidores web vulnerables de Microsoft Internet Information Service (IIS), sino también para usarlos como centros de distribución de malware en ataques de pozos de agua dirigidos a Corea del Sur, según AhnLab Security Emergency Response Center (ASEC).
«El actor de amenazas utiliza continuamente ataques de vulnerabilidad para el acceso inicial a sistemas sin parches», ASEC dicho. «Es uno de los grupos de amenazas más peligrosos y altamente activos en todo el mundo».
Un segundo grupo respaldado por RGB que también se enfoca en recopilar información sobre eventos geopolíticos y negociaciones que afectan los intereses de la RPDC es Kimsuky, que ha sido detectado usando Escritorio remoto de Chrome para requisar de forma remota hosts ya comprometidos a través de puertas traseras como AppleSeed.
«El grupo Kimsuky APT lanza continuamente ataques de spear-phishing contra usuarios coreanos», ASEC señaló este mes. «Por lo general, emplean métodos de distribución de malware a través de archivos de documentos ocultos adjuntos a correos electrónicos, y los usuarios que abren estos archivos pueden perder el control de su sistema actual».