Los piratas informáticos de Corea del Norte liberaron el exploit de día cero de Chrome en cientos de objetivos de EE. UU.

imágenes falsas

Los piratas informáticos respaldados por el gobierno de Corea del Norte aprovecharon un día cero crítico de Chrome para infectar las computadoras de cientos de personas que trabajan en una variedad de industrias, incluidos los medios de comunicación, TI, criptomonedas y servicios financieros, dijo Google el jueves.

La falla, rastreada como CVE-2022-0609, fue explotada por dos grupos de piratería norcoreanos separados. Ambos grupos utilizaron el mismo kit de explotación en sitios web que eran propiedad de organizaciones legítimas y fueron pirateados, o que se configuraron específicamente para entregar código de ataque a visitantes desprevenidos. Un grupo se llamó Operation Dream Job y se dirigió a más de 250 personas que trabajaban para 10 empresas diferentes. El otro grupo, conocido como AppleJeus, apuntó a 85 usuarios.

Trabajos de ensueño y riquezas en criptomonedas

«Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro común, de ahí el uso del mismo kit de explotación, pero cada uno opera con un conjunto de misiones diferente y emplea diferentes técnicas», dijo Adam Weidemann, investigador del grupo de análisis de amenazas de Google. , les escribió en una publicación. «Es posible que otros atacantes respaldados por el gobierno de Corea del Norte puedan tener acceso al mismo kit de explotación».

La Operación Dream Job ha estado activa desde al menos junio de 2020, cuando los investigadores de la firma de seguridad ClearSky observaron que el grupo apuntaba a empresas gubernamentales y de defensa. Los malos se dirigieron a empleados específicos de las organizaciones con ofertas falsas de «trabajos de ensueño» en empresas como Boeing, McDonnell Douglas y BAE. Los piratas informáticos desarrollaron una sofisticada campaña de ingeniería social utilizando perfiles ficticios de LinkedIn, correos electrónicos, mensajes de WhatsApp y llamadas telefónicas. El objetivo de la campaña era robar dinero y recopilar información.

AppleJeus, por otro lado, se remonta al menos a 2018. En ese momento, los investigadores de la firma de seguridad Kaspersky vieron a los piratas informáticos de Corea del Norte apuntar a un intercambio de criptomonedas con malware que se hacía pasar por una aplicación de comercio de criptomonedas. La operación AppleJeus se destacó por usar una aplicación maliciosa escrita para macOS, que según los investigadores de la compañía probablemente fue la primera vez que una APT (abreviatura de «Advanced Persistent Threat Group» respaldada por el gobierno) usó malware para apuntar a esa plataforma para atacar También fue notable el uso por parte del grupo de malware que se ejecutaba exclusivamente en la memoria sin escribir ningún archivo en el disco, una función avanzada que dificulta mucho la detección.

Uno de los dos grupos (Weidemann no dijo cuál) también usó algunos de los mismos servidores de control para infectar a los investigadores de seguridad el año pasado. La campaña usó personas ficticias de Twitter para construir relaciones con los investigadores. Una vez que se estableció un nivel de confianza, los piratas informáticos utilizaron un proyecto de día cero de Internet Explorer o un proyecto malicioso de Visual Studio que supuestamente contenía el código fuente para un exploit de prueba de concepto.

En febrero, los investigadores de Google se enteraron de una vulnerabilidad crítica que se estaba explotando en Chrome. Los ingenieros de la empresa corrigieron la vulnerabilidad y le dieron la designación CVE-2022-0609. El jueves, la compañía proporcionó más detalles sobre la vulnerabilidad y cómo los dos piratas informáticos norcoreanos la explotaron.

Operation Dream Job envió correos electrónicos objetivo supuestamente de reclutadores que trabajaban para Disney, Google y Oracle. Los enlaces incrustados en el correo electrónico falsifican sitios legítimos de búsqueda de empleo como Indeed y ZipRecruiter. Las páginas contenían un iframe que desencadenó el exploit.

Aquí hay un ejemplo de una de las páginas utilizadas:

dream job fake indeed site

Google

Los miembros de Operation AppleJeus han comprometido los sitios web de al menos dos empresas legítimas de servicios financieros y una variedad de sitios web ad hoc que distribuyen aplicaciones maliciosas de criptomonedas. Al igual que los sitios de Dream Job, los sitios utilizados por AppleJeus contenían iframes que activaron el exploit.

Se introdujo una aplicación falsa en la Operación AppleJeus

Se introdujo una aplicación falsa en la Operación AppleJeus

¿Hay un escape de caja de arena en este kit?

El kit de explotación se escribió para ofuscar cuidadosamente el ataque, incluso ocultando el código de explotación y solo activando la ejecución remota del código en casos seleccionados. El kit también parece haber utilizado un exploit separado para salir del entorno limitado de seguridad de Chrome. Los investigadores de Google no pudieron determinar este código de escape, lo que deja abierta la posibilidad de que la vulnerabilidad explotada aún deba ser reparada.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

5 × 2 =