El Threat Analysis Group (TAG) de Google revel\u00f3 el jueves que actu\u00f3 para mitigar las amenazas de dos grupos de atacantes distintos respaldados por el gobierno con sede en Corea del Norte que explotaron una falla de ejecuci\u00f3n remota de c\u00f3digo descubierta recientemente en el navegador web Chrome.<\/p>\n
Se dice que las campa\u00f1as, una vez m\u00e1s “reflejando las preocupaciones y prioridades inmediatas del r\u00e9gimen”, se dirigieron a organizaciones con sede en EE. en los investigadores de seguridad el a\u00f1o pasado.<\/p>\n
La vulnerabilidad en cuesti\u00f3n es CVE-2022-0609, una vulnerabilidad de uso posterior a la liberaci\u00f3n en el componente de animaci\u00f3n del navegador que Google abord\u00f3 como parte de las actualizaciones (versi\u00f3n 98.0.4758.102) emitidas el 14 de febrero de 2022. Tambi\u00e9n es la primera vulnerabilidad de d\u00eda cero falla reparada por el gigante tecnol\u00f3gico desde principios de 2022.<\/p>\n
![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Alertas-de-CISA-sobre-fallas-explotadas-activamente-en-la-plataforma.png\")
<\/a><\/div>\n“La evidencia m\u00e1s temprana que tenemos de que este kit de explotaci\u00f3n se implement\u00f3 activamente es el 4 de enero de 2022”, dijo Adam Weidemann, investigador de Google TAG. dijo<\/a> en un informe “Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ah\u00ed el uso del mismo kit de explotaci\u00f3n, pero cada uno opera con un conjunto de misiones diferente y despliega diferentes t\u00e9cnicas”.<\/p>\n La primera campa\u00f1a, consistente con los TTP asociados con lo que la firma de ciberseguridad israel\u00ed ClearSky describi\u00f3 como “Operaci\u00f3n trabajo de ensue\u00f1o<\/a>” en agosto de 2020, se dirigi\u00f3 contra m\u00e1s de 250 personas que trabajaban para 10 medios de comunicaci\u00f3n diferentes, registradores de dominios, proveedores de alojamiento web y proveedores de software, atray\u00e9ndolos con ofertas de trabajo falsas de compa\u00f1\u00edas como Disney, Google y Oracle.<\/p>\n El uso de listados de trabajo falsos es una t\u00e1ctica comprobada del grupo Lazarus, que, a principios de enero, se descubri\u00f3 haci\u00e9ndose pasar por la compa\u00f1\u00eda aeroespacial y de seguridad global estadounidense Lockheed Martin para distribuir cargas \u00fatiles de malware para apuntar a personas que buscan trabajo en la industria aeroespacial y de defensa. .<\/p>\n “El doble escenario de espionaje y robo de dinero es exclusivo de Corea del Norte, que opera unidades de inteligencia que roban informaci\u00f3n y dinero para su pa\u00eds”, se\u00f1alaron los investigadores de ClearSky en ese momento.<\/p>\n El segundo grupo de actividad que se cree que aprovech\u00f3 el mismo d\u00eda cero de Chrome se relaciona con la Operaci\u00f3n AppleJeus, que comprometi\u00f3 al menos dos sitios web leg\u00edtimos de empresas de tecnolog\u00eda financiera para servir el exploit a no menos de 85 usuarios.<\/p>\n los kit de explotaci\u00f3n<\/a>seg\u00fan Google TAG, est\u00e1 dise\u00f1ado como una cadena de infecci\u00f3n de m\u00faltiples etapas que implica incrustar el c\u00f3digo de ataque dentro de marcos ocultos de Internet tanto en sitios web comprometidos como en sitios web no autorizados bajo su control.<\/p>\n “En otros casos, observamos sitios web falsos, ya configurados para distribuir aplicaciones de criptomonedas troyanizadas, que alojan iframes<\/a> y se\u00f1alar a sus visitantes el kit de explotaci\u00f3n”, dijo Weidemann.<\/p>\n La etapa inicial abarc\u00f3 una fase de reconocimiento para tomar las huellas dactilares de las m\u00e1quinas seleccionadas que luego fue seguida por el exploit de ejecuci\u00f3n remota de c\u00f3digo (RCE), que, cuando tuvo \u00e9xito, condujo a la recuperaci\u00f3n de un paquete de segunda etapa dise\u00f1ado para escapar de la caja de arena y llevar a cabo otras actividades posteriores a la explotaci\u00f3n.<\/p>\n Google TAG, que descubri\u00f3 las campa\u00f1as el 10 de febrero, se\u00f1al\u00f3 que “no pudo recuperar ninguna de las etapas que siguieron al RCE inicial”, y enfatiz\u00f3 que los actores de amenazas hicieron uso de varias medidas de seguridad, incluido el uso de cifrado AES, dise\u00f1ado expl\u00edcitamente. para oscurecer sus huellas y dificultar la recuperaci\u00f3n de etapas intermedias.<\/p>\n Adem\u00e1s, las campa\u00f1as buscaban visitantes que usaran navegadores no basados \u200b\u200ben Chromium como Safari en macOS o Mozilla Firefox (en cualquier sistema operativo), redirigiendo a las v\u00edctimas a enlaces espec\u00edficos en servidores de explotaci\u00f3n conocidos. No est\u00e1 claro de inmediato si alguno de esos intentos fue fruct\u00edfero.<\/p>\n Los hallazgos llegan cuando la empresa de inteligencia de amenazas Mandiant mapeado<\/a> diferentes subgrupos de Lazarus a varias organizaciones gubernamentales en Corea del Norte, incluida la Oficina General de Reconocimiento, el Departamento del Frente Unido (UFD) y el Ministerio de Seguridad del Estado (MSS).<\/p>\n L\u00e1zaro es el apodo general que se refiere colectivamente a las operaciones de espionaje que se originan en el reino ermita\u00f1o fuertemente sancionado, de la misma manera Winnti<\/a> y MuddyWater funcionan como un conglomerado de m\u00faltiples equipos para ayudar a promover los objetivos geopol\u00edticos y de seguridad nacional de China e Ir\u00e1n.<\/p>\n “El aparato de inteligencia de Corea del Norte posee la flexibilidad y la resistencia para crear unidades cibern\u00e9ticas basadas en las necesidades del pa\u00eds”, dijeron los investigadores de Mandiant. “Adem\u00e1s, las superposiciones en infraestructura, malware y t\u00e1cticas, t\u00e9cnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibern\u00e9ticas”.<\/p>\n <\/p>\n<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n