Os hackers apoiados pela Coreia do Norte estão mais uma vez atacando os pesquisadores de segurança com uma exploração de dia zero e malware relacionado, na tentativa de se infiltrar em computadores usados para realizar investigações confidenciais envolvendo segurança cibernética.
O dia zero atualmente não corrigido – ou seja, uma vulnerabilidade que é conhecida pelos invasores antes que o fornecedor de hardware ou software tenha um patch de segurança disponível – reside em um pacote de software popular usado pelos pesquisadores visados, disseram pesquisadores do Google na quinta-feira. Eles se recusaram a identificar o software ou fornecer detalhes sobre a vulnerabilidade até que o fornecedor, que foi notificado de forma privada, libere um patch. A vulnerabilidade foi explorada usando um arquivo malicioso que os hackers enviaram aos pesquisadores depois de passarem semanas estabelecendo uma relação de trabalho.
O malware usado na campanha corresponde muito ao código usado em uma campanha anterior que foi definitivamente ligada a hackers apoiados pelo governo norte-coreano, disseram Clement Lecigne e Maddie Stone, ambos pesquisadores do Grupo de Análise de Ameaças do Google. Essa campanha chegou ao conhecimento público pela primeira vez em janeiro de 2021, em postagens do mesmo grupo de pesquisa do Google e, alguns dias depois, da Microsoft.
Dois meses depois, o Google voltou a relatar que o mesmo agente da ameaça, em vez de se esconder depois de ser descoberto, havia retornado, desta vez visando pesquisadores com um dia zero para explorar uma vulnerabilidade no Internet Explorer. A Microsoft, que rastreia o grupo de hackers Zinc, corrigiu a vulnerabilidade no mesmo mês. Em março, pesquisadores da empresa de segurança Mandiant disseram que também detectaram hackers apoiados pela Coreia do Norte, rastreados como UNC2970, visando pesquisadores. Os pesquisadores da Mandiant disseram que observaram pela primeira vez a campanha UNC2970 em junho de 2022.
O manual em 2021 é o mesmo que o Google observou nas últimas semanas. Os hackers se passam por pesquisadores de segurança e publicam conteúdo relacionado à segurança em blogs ou mídias sociais. Eles desenvolvem pacientemente relacionamentos com pesquisadores reais e depois levam suas discussões para fóruns privados. Eventualmente, os falsos pesquisadores compartilham exploits ou ferramentas de análise trojanizadas com os pesquisadores, na tentativa de fazer com que eles executem em suas máquinas pessoais.
Na postagem de quinta-feira, os pesquisadores do Google Threat Analysis Group escreveram:
Semelhante à campanha anterior relatada pelo TAG, os atores de ameaças norte-coreanos usaram sites de mídia social como o X (antigo Twitter) para construir relacionamento com seus alvos. Num caso, mantiveram uma conversa que durou meses, tentando colaborar com um investigador de segurança em tópicos de interesse mútuo. Após o contato inicial via X, eles mudaram para um aplicativo de mensagens criptografadas como Signal, WhatsApp ou Wire. Depois que um relacionamento foi desenvolvido com um pesquisador-alvo, os agentes da ameaça enviaram um arquivo malicioso que continha pelo menos um dia 0 em um pacote de software popular.
Prolongar / Perfil do Twitter controlado pelo ator
Etiqueta do Google
Após a exploração bem-sucedida, o shellcode realiza uma série de verificações de máquina antivirtual e, em seguida, envia as informações coletadas, juntamente com uma captura de tela, de volta para um domínio de comando e controle controlado pelo invasor. O shellcode usado nesta exploração é construído de maneira semelhante ao shellcode observado em explorações norte-coreanas anteriores.
A postagem dizia que, além de explorar o atual dia zero, o mesmo grupo de hackers parece estar compartilhando software que também tem como alvo os pesquisadores. A ferramenta, postada pela primeira vez no GitHub em setembro de 2022 e removida uma hora antes desta postagem ir ao ar, forneceu um meio útil para depurar ou analisar software
“Superficialmente, esta ferramenta parece ser um utilitário útil para baixar de forma rápida e fácil informações sobre símbolos de diversas fontes diferentes. Os símbolos fornecem informações adicionais sobre um binário que podem ser úteis ao depurar problemas de software ou durante a realização de pesquisas de vulnerabilidade”, escreveram os pesquisadores. “Mas a ferramenta também tem a capacidade de baixar e executar código arbitrário de um domínio controlado por um invasor.”
Os pesquisadores pediram a qualquer pessoa que tenha executado o software que “garanta que seu sistema esteja em um estado limpo e conhecido, provavelmente exigindo a reinstalação do sistema operacional”. A postagem inclui hashes de arquivos, endereços IP e outros dados que as pessoas podem usar para indicar se foram alvo.
