Hackers norcoreanos desatan un exploit 0-day de Chrome en cientos de objetivos estadounidenses

Una vulnerabilidad crítica explotada por dos grupos que trabajan para el gobierno de Corea del Norte.

Los hackers respaldados por el gobierno de Corea del Norte explotaron un día cero crítico de Chrome en un intento de infectar los ordenadores de cientos de personas que trabajan en una amplia gama de industrias, incluyendo los medios de comunicación, TI, criptomoneda y servicios financieros, aseguró Google el jueves.

Hackers norcoreanos desatan un exploit 0-day de Chrome en cientos de objetivos estadounidenses

El fallo, rastreado como CVE-2022-0609, fue explotado por dos grupos de hackers norcoreanos distintos. Ambos grupos desplegaron el mismo kit de explotación en sitios web que, o bien pertenecían a organizaciones legítimas y fueron hackeados, o bien fueron creados con el propósito expreso de servir el código de ataque a los visitantes desprevenidos. Uno de los grupos se denominó Operación Dream Job y tuvo como objetivo a más de 250 personas que trabajaban para 10 empresas diferentes. El otro grupo, conocido como AppleJeus, tenía como objetivo a 85 usuarios.

Trabajos de ensueño y riquezas en criptomonedas

"Sospechamos que estos grupos trabajan para la misma entidad con una cadena de suministro compartida, de ahí el uso del mismo kit de exploits, pero cada uno opera con un conjunto de misiones diferentes y despliega técnicas distintas", escribió en un post Adam Weidemann, investigador del grupo de análisis de amenazas de Google. "Es posible que otros atacantes respaldados por el gobierno de Corea del Norte tengan acceso al mismo kit de explotación".

La Operación Dream Job ha estado activa desde al menos junio de 2020, cuando los investigadores de la firma de seguridad ClearSky observaron que el grupo apuntaba a empresas de defensa y gubernamentales. Los chicos malos se dirigieron a empleados específicos de las organizaciones con ofertas falsas de un "trabajo de ensueño" con empresas como Boeing, McDonnell Douglas y BAE. Los hackers idearon una elaborada campaña de ingeniería social que utilizaba perfiles ficticios de LinkedIn, correos electrónicos, mensajes de WhatsApp y llamadas telefónicas. El objetivo de la campaña era tanto robar dinero como recopilar información.

En febrero, los investigadores de Google se enteraron de que se estaba explotando una vulnerabilidad crítica en Chrome. Los ingenieros de la compañía solucionaron la vulnerabilidad y la denominaron CVE-2022-0609. El jueves, la compañía proporcionó más detalles sobre la vulnerabilidad y cómo la explotaron los dos hackers norcoreanos.

La operación "Dream Job" enviaba correos electrónicos que parecían proceder de reclutadores de empleo que trabajaban para Disney, Google y Oracle. Los enlaces incluidos en el correo electrónico simulaban sitios legítimos de búsqueda de empleo como Indeed y ZipRecruiter. Los sitios contenían un iframe que activaba el exploit.

Este es un ejemplo de una de las páginas utilizadas:

Hackers norcoreanos desatan un exploit 0-day de Chrome en cientos de objetivos estadounidenses

Los miembros de la Operación AppleJeus comprometieron los sitios web de al menos dos empresas legítimas de servicios financieros y una variedad de sitios ad hoc que promocionaban aplicaciones maliciosas de criptomonedas. Al igual que los sitios de Dream Job, los sitios utilizados por AppleJeus también contenían iframes que activaban el exploit.

Hackers norcoreanos desatan un exploit 0-day de Chrome en cientos de objetivos estadounidenses

¿Hay un escape de la caja de arena en este kit?

El kit de explotación fue escrito de forma que se ocultara cuidadosamente el ataque, entre otras cosas, disfrazando el código de explotación y activando la ejecución remota de código sólo en casos seleccionados. El kit también parece haber utilizado un exploit separado para salir de la caja de arena de seguridad de Chrome. Los investigadores de Google no pudieron determinar ese código de escape, lo que deja abierta la posibilidad de que la vulnerabilidad que explotaba aún no haya sido parcheada.

Vídeos

Michael Rojas

Michael Rojas

📲🎥🎞 Me convertí en un entusiasta de la tecnología a finales de 2012, y desde entonces, he estado trabajando para publicaciones de renombre en toda América y España como freelance para cubrir productos de empresas como Apple, Samsung, LG entre otras. ¡Gracias por leerme! ✌ Si deseas saber más sobre mis servicios, envíame tu consulta a [email protected]

Elenbyte
Logo