O Grupo de Análise de Ameaças (TAG) do Google divulgou uma atualização sobre uma campanha em andamento de atores de ameaças norte-coreanos visando pesquisadores de segurança.
Esta campanha, que surgiu pela primeira vez em janeiro de 2021, envolveu o uso 0Explorações diárias para comprometer a segurança de pesquisadores envolvidos em pesquisa e desenvolvimento de vulnerabilidades.
Nos últimos dois anos e meio, a TAG monitorou e interrompeu diligentemente diversas campanhas orquestradas por esses atores norte-coreanos, desenterrando 0vulnerabilidades diárias e proteção dos usuários online.
Recentemente, o TAG identificou um nova campanha apresentando semelhanças com o anterior. Perturbadoramente, confirmaram a exploração activa de pelo menos um 0vulnerabilidade de vários dias nas últimas semanas, levando-os a tomar medidas imediatas.
A TAG relatou esta vulnerabilidade ao fornecedor afetado e estão em andamento esforços para corrigi-la.
Embora a análise desta campanha esteja em andamento, a TAG optou por fornecer uma notificação antecipada à comunidade de pesquisa em segurança.
Este é um lembrete claro de que os investigadores de segurança podem tornar-se alvos de atacantes apoiados pelo governo, sublinhando a importância de manter a vigilância nas práticas de segurança.
As tácticas empregues por estes actores de ameaça norte-coreanos reflectem as da campanha anterior.
Eles entram em contato com alvos potenciais através de plataformas de mídia social como X (anteriormente Twitter) e gradualmente construir confiança.
Uma vez estabelecido um relacionamento, eles fazem a transição para aplicativos de mensagens criptografadas como Signal, WhatsApp ou Wire.
Posteriormente, os agentes da ameaça enviam arquivos maliciosos contendo pelo menos um 0Exploração de um dia escondida em pacotes de software populares.
Após a exploração bem-sucedida, o código malicioso realiza uma série de verificações antivirtuais na máquina e transmite os dados coletados, incluindo capturas de tela, para um domínio de comando e controle controlado pelos invasores.
O shellcode usado nessas explorações apresenta semelhanças com explorações norte-coreanas anteriores.
Além de 0explorações de um dia, esses agentes de ameaças desenvolveram um sistema autônomo Windows ferramenta para baixar símbolos de depuração de servidores centrais de símbolos, incluindo Microsoft, Google, Mozilla e Citrix.
No entanto, esta ferramenta também pode baixar e executar código arbitrário de domínios controlados por invasores, representando um risco significativo para aqueles que a utilizam.
A TAG aconselha fortemente os indivíduos que baixaram ou executaram esta ferramenta a tomarem precauções, incluindo garantir que seus sistemas estejam limpos, o que pode exigir a reinstalação completa do sistema operacional.
Como parte de seu compromisso de combater essas ameaças graves, a TAG utiliza os resultados de suas pesquisas para melhorar a segurança dos produtos do Google.
Eles adicionam rapidamente sites e domínios identificados à Navegação segura para proteger os usuários de futuras explorações.
Além disso, o TAG notifica os usuários direcionados do Gmail e do Workspace sobre alertas de invasores apoiados pelo governo, incentivando possíveis alvos a ativar a Navegação segura aprimorada para Chrome e garantir que seus dispositivos estejam atualizados.
