El TAG (Grupo de Análisis de Amenazas) de Google reveló el jueves que actuó para mitigar las amenazas de dos grupos de atacantes distintos respaldados por el gobierno y con sede en Corea del Norte que explotaron una falla en la ejecución remota de código recientemente descubierto en el navegador web Chrome.
Las campañas, que una vez más "reflejan las preocupaciones y prioridades inmediatas del régimen", se dirigen a organizaciones con sede en EE.UU. que abarcan los medios de comunicación, las tecnologÃas de la información, la cripto moneda, las industrias de tecnologÃa financiera y uno de los grupos comparte una infraestructura directa con ataques anteriores dirigidos a investigadores de seguridad el año pasado.
El fallo en cuestión se registro a través de la vulnerabilidad numero CVE-2022-0609, esta vulnerabilidad de memoria de tipo UAF (use-after-free) en el componente de Animación del navegador que Google solucionó como parte de un parche (versión 98.0.4758.102) emitido el 14 de febrero de 2022. También es el primer fallo de tipo -dÃa cero- parcheado por el gigante tecnológico desde el inicio de 2022.
"La primera evidencia que tenemos de que este kit de explotación se desplegó activamente es el 4 de enero de 2022", dijo el investigador de Google TAG Adam Weidemann en un informe. "Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahà el uso del mismo kit de exploits, pero cada uno opera con un conjunto de misiones diferentes y despliega técnicas distintas".
La primera campaña, consistente con los TTPs asociados con lo que la firma israelà de ciberseguridad ClearSky describió como "Operación Trabajo de Ensueño" en agosto de 2020, fue dirigida a más de 250 personas que trabajaban para 10 medios de comunicación diferentes, registradores de dominios, proveedores de alojamiento web y proveedores de software, atrayéndolos con ofertas de trabajo falsas de empresas como Disney, Google y Oracle.
El uso de ofertas de trabajo falsas es una táctica probada por los grupos de estados-nación norcoreanos, que a principios de enero se hicieron pasar por la empresa estadounidense de seguridad global y aeroespacial Lockheed Martin para distribuir malware dirigidos a personas que buscaban trabajo en la industria aeroespacial y de defensa.
"El doble escenario de espionaje y robo de dinero es exclusivo de Corea del Norte, que opera unidades de inteligencia que roban tanto información como dinero para su paÃs", señalaron entonces los investigadores de ClearSky.
El segundo grupo de actividades que se cree que ha aprovechado el mismo -dÃa cero- de Chrome está relacionado con la Operación AppleJeus, que comprometió al menos dos sitios web legÃtimos de empresas de tecnologÃa financiera para servir el "exploit" a no menos de 85 usuarios.
El kit de explotación, según Google TAG, está diseñado como una cadena de infección de varias etapas que implica la incrustación del código de ataque dentro de marcos de Internet ocultos tanto en los sitios web comprometidos como en los sitios web falsos bajo su control.
"En otros casos, hemos observado que sitios web falsos (ya configurados para distribuir aplicaciones de cripto moneda troyanizadas) alojan código tipo "iframe" y dirigen a sus visitantes al kit de explotación ", dijo Weidemann.
La etapa inicial comprendÃa una fase de reconocimiento para tomar las huellas digitales de las máquinas seleccionadas a las que en seguida se procedÃa a enviar el servicio del exploit de tipo RCE (Código de Ejecución Remota), que, cuando tenÃa éxito, conducÃa a la recuperación de un paquete de segunda etapa diseñado para escapar el "sandbox" y llevar a cabo otras actividades posteriores a la explotación.
Google TAG, que descubrió las intrusiones el 10 de febrero, indicó que, "no pudo recuperar ninguna de las etapas que siguieron a la RCE inicial", destacando que los actores de la amenaza hicieron uso de varias garantÃas, incluyendo el uso del cifrado AES, diseñado explÃcitamente para ocultar sus huellas y dificultar la recuperación de las etapas intermedias.
Además, las campañas comprobaban si los visitantes utilizaban navegadores no basados en Chromium, como Safari en macOS o Mozilla Firefox (en cualquier sistema operativo), re dirigiendo a las vÃctimas a enlaces especÃficos en servidores de explotación conocidos. No está claro si alguno de esos intentos fue fructÃfero.
Los hallazgos se producen cuando la empresa de inteligencia de amenazas Mandiant asignó diferentes sub grupos de Lazarus a varias organizaciones gubernamentales de Corea del Norte, incluyendo la RGB (Oficina General de Reconocimiento por sus siglas en inglés), el UFD (Departamento del Frente Unido por sus siglas en inglés) y el MSS (Ministerio de Seguridad del Estado).
Lazarus es el apelativo que engloba las operaciones maliciosas de ciber delincuencia y de delincuencia financiera que se originan en el reino ermitaño, fuertemente sancionado, del mismo modo que Winnti y MuddyWater funcionan como un conglomerado de múltiples equipos para ayudar a promover los objetivos geopolÃticos y de seguridad nacional de China e Irán.
"El aparato de inteligencia de Corea del Norte posee la flexibilidad y la capacidad de recuperación para crear unidades cibernéticas en función de las necesidades del paÃs", afirman los investigadores de Mandiant. "Además, la superposición en la infraestructura, el malware y las tácticas, técnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibernéticas".