El TAG (Grupo de Análisis de Amenazas) de Google reveló el jueves que actuó para mitigar las amenazas de dos grupos de atacantes distintos respaldados por el gobierno y con sede en Corea del Norte que explotaron una falla en la ejecución remota de código recientemente descubierto en el navegador web Chrome.
Las campañas, que una vez más "reflejan las preocupaciones y prioridades inmediatas del régimen", se dirigen a organizaciones con sede en EE.UU. que abarcan los medios de comunicación, las tecnologías de la información, la cripto moneda, las industrias de tecnología financiera y uno de los grupos comparte una infraestructura directa con ataques anteriores dirigidos a investigadores de seguridad el año pasado.
El fallo en cuestión se registro a través de la vulnerabilidad numero CVE-2022-0609, esta vulnerabilidad de memoria de tipo UAF (use-after-free) en el componente de Animación del navegador que Google solucionó como parte de un parche (versión 98.0.4758.102) emitido el 14 de febrero de 2022. También es el primer fallo de tipo -día cero- parcheado por el gigante tecnológico desde el inicio de 2022.
"La primera evidencia que tenemos de que este kit de explotación se desplegó activamente es el 4 de enero de 2022", dijo el investigador de Google TAG Adam Weidemann en un informe. "Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahí el uso del mismo kit de exploits, pero cada uno opera con un conjunto de misiones diferentes y despliega técnicas distintas".
La primera campaña, consistente con los TTPs asociados con lo que la firma israelí de ciberseguridad ClearSky describió como "Operación Trabajo de Ensueño" en agosto de 2020, fue dirigida a más de 250 personas que trabajaban para 10 medios de comunicación diferentes, registradores de dominios, proveedores de alojamiento web y proveedores de software, atrayéndolos con ofertas de trabajo falsas de empresas como Disney, Google y Oracle.
El uso de ofertas de trabajo falsas es una táctica probada por los grupos de estados-nación norcoreanos, que a principios de enero se hicieron pasar por la empresa estadounidense de seguridad global y aeroespacial Lockheed Martin para distribuir malware dirigidos a personas que buscaban trabajo en la industria aeroespacial y de defensa.
"El doble escenario de espionaje y robo de dinero es exclusivo de Corea del Norte, que opera unidades de inteligencia que roban tanto información como dinero para su país", señalaron entonces los investigadores de ClearSky.
El segundo grupo de actividades que se cree que ha aprovechado el mismo -día cero- de Chrome está relacionado con la Operación AppleJeus, que comprometió al menos dos sitios web legítimos de empresas de tecnología financiera para servir el "exploit" a no menos de 85 usuarios.
El kit de explotación, según Google TAG, está diseñado como una cadena de infección de varias etapas que implica la incrustación del código de ataque dentro de marcos de Internet ocultos tanto en los sitios web comprometidos como en los sitios web falsos bajo su control.
"En otros casos, hemos observado que sitios web falsos (ya configurados para distribuir aplicaciones de cripto moneda troyanizadas) alojan código tipo "iframe" y dirigen a sus visitantes al kit de explotación ", dijo Weidemann.
La etapa inicial comprendía una fase de reconocimiento para tomar las huellas digitales de las máquinas seleccionadas a las que en seguida se procedía a enviar el servicio del exploit de tipo RCE (Código de Ejecución Remota), que, cuando tenía éxito, conducía a la recuperación de un paquete de segunda etapa diseñado para escapar el "sandbox" y llevar a cabo otras actividades posteriores a la explotación.
Google TAG, que descubrió las intrusiones el 10 de febrero, indicó que, "no pudo recuperar ninguna de las etapas que siguieron a la RCE inicial", destacando que los actores de la amenaza hicieron uso de varias garantías, incluyendo el uso del cifrado AES, diseñado explícitamente para ocultar sus huellas y dificultar la recuperación de las etapas intermedias.
Además, las campañas comprobaban si los visitantes utilizaban navegadores no basados en Chromium, como Safari en macOS o Mozilla Firefox (en cualquier sistema operativo), re dirigiendo a las víctimas a enlaces específicos en servidores de explotación conocidos. No está claro si alguno de esos intentos fue fructífero.
Los hallazgos se producen cuando la empresa de inteligencia de amenazas Mandiant asignó diferentes sub grupos de Lazarus a varias organizaciones gubernamentales de Corea del Norte, incluyendo la RGB (Oficina General de Reconocimiento por sus siglas en inglés), el UFD (Departamento del Frente Unido por sus siglas en inglés) y el MSS (Ministerio de Seguridad del Estado).
Lazarus es el apelativo que engloba las operaciones maliciosas de ciber delincuencia y de delincuencia financiera que se originan en el reino ermitaño, fuertemente sancionado, del mismo modo que Winnti y MuddyWater funcionan como un conglomerado de múltiples equipos para ayudar a promover los objetivos geopolíticos y de seguridad nacional de China e Irán.
"El aparato de inteligencia de Corea del Norte posee la flexibilidad y la capacidad de recuperación para crear unidades cibernéticas en función de las necesidades del país", afirman los investigadores de Mandiant. "Además, la superposición en la infraestructura, el malware y las tácticas, técnicas y procedimientos indican que hay recursos compartidos entre sus operaciones cibernéticas".