El Threat Analysis Group (TAG) de Google reveló el jueves que actuó para mitigar las amenazas de dos grupos de atacantes distintos respaldados por el gobierno con sede en Corea del Norte que explotaron una falla de ejecución remota de código descubierta recientemente en el navegador web Chrome.
Se dice que las campañas, una vez más «reflejando las preocupaciones y prioridades inmediatas del régimen», se dirigieron a organizaciones con sede en EE. en los investigadores de seguridad el año pasado.
La vulnerabilidad en cuestión es CVE-2022-0609, una vulnerabilidad de uso posterior a la liberación en el componente de animación del navegador que Google abordó como parte de las actualizaciones (versión 98.0.4758.102) emitidas el 14 de febrero de 2022. También es la primera vulnerabilidad de día cero falla reparada por el gigante tecnológico desde principios de 2022.
«La evidencia más temprana que tenemos de que este kit de explotación se implementó activamente es el 4 de enero de 2022», dijo Adam Weidemann, investigador de Google TAG. dijo en un informe «Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahí el uso del mismo kit de explotación, pero cada uno opera con un conjunto de misiones diferente y despliega diferentes técnicas».
La primera campaña, consistente con los TTP asociados con lo que la firma de ciberseguridad israelí ClearSky describió como «Operación trabajo de ensueño» en agosto de 2020, se dirigió contra más de 250 personas que trabajaban para 10 medios de comunicación diferentes, registradores de dominios, proveedores de alojamiento web y proveedores de software, atrayéndolos con ofertas de trabajo falsas de compañías como Disney, Google y Oracle.
El uso de listados de trabajo falsos es una táctica comprobada del grupo Lazarus, que, a principios de enero, se descubrió haciéndose pasar por la compañía aeroespacial y de seguridad global estadounidense Lockheed Martin para distribuir cargas útiles de malware para apuntar a personas que buscan trabajo en la industria aeroespacial y de defensa. .
«El doble escenario de espionaje y robo de dinero es exclusivo de Corea del Norte, que opera unidades de inteligencia que roban información y dinero para su país», señalaron los investigadores de ClearSky en ese momento.
El segundo grupo de actividad que se cree que aprovechó el mismo día cero de Chrome se relaciona con la Operación AppleJeus, que comprometió al menos dos sitios web legítimos de empresas de tecnología financiera para servir el exploit a no menos de 85 usuarios.
los kit de explotaciónsegún Google TAG, está diseñado como una cadena de infección de múltiples etapas que implica incrustar el código de ataque dentro de marcos ocultos de Internet tanto en sitios web comprometidos como en sitios web no autorizados bajo su control.
«En otros casos, observamos sitios web falsos, ya configurados para distribuir aplicaciones de criptomonedas troyanizadas, que alojan iframes y señalar a sus visitantes el kit de explotación», dijo Weidemann.
La etapa inicial abarcó una fase de reconocimiento para tomar las huellas dactilares de las máquinas seleccionadas que luego fue seguida por el exploit de ejecución remota de código (RCE), que, cuando tuvo éxito, condujo a la recuperación de un paquete de segunda etapa diseñado para escapar de la caja de arena y llevar a cabo otras actividades posteriores a la explotación.
Google TAG, que descubrió las campañas el 10 de febrero, señaló que «no pudo recuperar ninguna de las etapas que siguieron al RCE inicial», y enfatizó que los actores de amenazas hicieron uso de varias medidas de seguridad, incluido el uso de cifrado AES, diseñado explícitamente. para oscurecer sus huellas y dificultar la recuperación de etapas intermedias.
Además, las campañas buscaban visitantes que usaran navegadores no basados en Chromium como Safari en macOS o Mozilla Firefox (en cualquier sistema operativo), redirigiendo a las víctimas a enlaces específicos en servidores de explotación conocidos. No está claro de inmediato si alguno de esos intentos fue fructífero.
Los hallazgos llegan cuando la empresa de inteligencia de amenazas Mandiant mapeado diferentes subgrupos de Lazarus a varias organizaciones gubernamentales en Corea del Norte, incluida la Oficina General de Reconocimiento, el Departamento del Frente Unido (UFD) y el Ministerio de Seguridad del Estado (MSS).
Lázaro es el apodo general que se refiere colectivamente a las operaciones de espionaje que se originan en el reino ermitaño fuertemente sancionado, de la misma manera Winnti y MuddyWater funcionan como un conglomerado de múltiples equipos para ayudar a promover los objetivos geopolíticos y de seguridad nacional de China e Irán.
«El aparato de inteligencia de Corea del Norte posee la flexibilidad y la resistencia para crear unidades cibernéticas basadas en las necesidades del país», dijeron los investigadores de Mandiant. «Además, las superposiciones en infraestructura, malware y tácticas, técnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibernéticas».