Campanha norte-coreana contra pesquisadores de segurança

 (blog.google)
2 pontos por GN⁺ 2023-09-08 | 1 comentários | Compartilhar no WhatsApp
  • O Threat Analysis Group (TAG), do Google, relatou uma campanha contínua de atores apoiados pelo governo da Coreia do Norte voltada a pesquisadores de segurança.
  • Essa campanha foi divulgada pela primeira vez em janeiro de 2021 e usa vulnerabilidades 0-day contra pesquisadores que trabalham com pesquisa e desenvolvimento de vulnerabilidades.
  • O TAG vem rastreando e interrompendo essas campanhas há mais de dois anos, além de identificar 0-days para proteger usuários online.
  • Recentemente, o TAG identificou uma nova campanha dos mesmos atores com base em semelhanças com campanhas anteriores.
  • Pelo menos um 0-day ativo foi usado contra pesquisadores de segurança nas últimas semanas. Essa vulnerabilidade foi reportada ao fornecedor afetado e está sendo corrigida no momento.
  • Os atores de ameaça norte-coreanos usam redes sociais para construir relacionamento com os alvos, frequentemente mantendo longas conversas e tentando colaborar em interesses mútuos.
  • Depois de estabelecer relação com o pesquisador-alvo, os atores de ameaça enviam arquivos maliciosos com pelo menos um 0-day embutido em pacotes de software populares.
  • Após uma exploração bem-sucedida, o shellcode realiza verificações de máquina virtual e envia as informações coletadas e capturas de tela para um domínio de comando e controle controlado pelo invasor.
  • Além de usar vulnerabilidades 0-day para atingir pesquisadores, os atores de ameaça também desenvolveram uma ferramenta independente para Windows que parece útil para baixar informações de símbolos, mas que também é capaz de baixar e executar código arbitrário a partir de um domínio controlado pelo invasor.
  • O TAG recomenda que, caso essa ferramenta tenha sido baixada ou executada, sejam tomadas medidas preventivas para verificar se o sistema está em um estado limpo conhecido, o que exigirá a reinstalação do sistema operacional.
  • O TAG usa os resultados de sua pesquisa para melhorar a segurança dos produtos do Google e adiciona todos os sites e domínios identificados ao Safe Browsing para evitar que usuários continuem sendo explorados.
  • O TAG envia alertas sobre invasores apoiados por governos para usuários do Gmail e do Workspace, e recomenda que potenciais alvos ativem o Enhanced Safe Browsing do Chrome e mantenham todos os dispositivos atualizados.
  • O TAG está comprometido em compartilhar seus resultados de pesquisa com a comunidade de segurança para ampliar a conscientização e melhorar a compreensão sobre estratégias e técnicas, contribuindo para reforçar a proteção dos usuários em todo o setor.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-08
Comentários do Hacker News
  • A ferramenta maliciosa getsymbol, no GitHub, recebeu 214 estrelas, mas não há banner de alerta. Foi sugerido ao GitHub adicionar avisos para outros softwares com backdoors conhecidos como esse.
  • Foi levantada a dúvida de como os norte-coreanos, apesar de terem acesso irrestrito à internet e compreensão de inglês, evitam ser expostos a mídias que contradizem a mídia estatal de seu país.
  • Foram expressas preocupações sobre a legitimidade de sites populares de download, como binários do ffmpeg para Windows, e sobre a possibilidade de atores estatais usarem downloads hospedados de forma não oficial.
  • O uso de 0days contra pesquisadores de segurança por parte da Coreia do Norte parece ser um teste, com o benefício potencial de obter mais 0days a partir dos pesquisadores visados.
  • Foi levantada a especulação de que uma atualização de segurança recente do macOS esteja relacionada à vulnerabilidade em discussão.
  • Foi levantada dúvida sobre a probabilidade de um pesquisador de segurança executar um binário de Windows recebido de uma fonte desconhecida, e sugeriu-se que seria mais provável que ele examinasse o binário em um ambiente mais seguro.
  • Foi perguntado como foi determinado que a ameaça se originou na Coreia do Norte.
  • Há a alegação de que todos os sites e domínios confirmados são adicionados ao Safe Browsing, embora o site dbgsymbol.com não apareça com aviso no Safe Browsing do navegador Brave.
  • Um ex-oficial de inteligência alertou para não subestimar a capacidade técnica da Coreia do Norte nem sua habilidade de recrutar pessoas inteligentes e trabalhadoras.
  • Foi sugerido evitar listar no LinkedIn um cargo explicitamente ligado à segurança, caso você trabalhe em uma função de segurança.