A unidade de caça a ameaças do Google interceptou novamente um ator norte-coreano ativo do APT que entrou nas mensagens diretas de pesquisadores de segurança e usou ferramentas de software fraudulentas e de dia zero para assumir o controle de seus computadores.
O Grupo de Análise de Ameaças (TAG) do Google divulgou na quinta-feira as contas de mídia social da equipe de hackers apoiada pelo governo e alertou que pelo menos um dia zero explorado ativamente está sendo usado e atualmente não foi corrigido.
Usando plataformas como o X (o sucessor do Twitter) como ponto de contato inicial, o ator norte-coreano de ameaças astuciosamente forjou relacionamentos com pesquisadores-alvo por meio de interações e discussões prolongadas.
“Em um caso, eles mantiveram uma conversa que durou meses, tentando colaborar com um pesquisador de segurança em temas de interesse mútuo. Após o contato inicial via X, eles mudaram para um aplicativo de mensagens criptografadas como Signal, WhatsApp ou Wire. Depois que um relacionamento foi desenvolvido com um pesquisador-alvo, os agentes da ameaça enviaram um arquivo malicioso que continha pelo menos um dia 0 em um pacote de software popular”, Google explicou.
O Google não identificou o pacote de software vulnerável.
O Google disse que a exploração de dia zero foi usada para plantar um código shell que conduz uma série de verificações de máquinas antivirtuais e, em seguida, envia as informações coletadas, junto com uma captura de tela, de volta para um domínio de comando e controle controlado pelo invasor.
“O shellcode usado nesta exploração é construído de maneira semelhante ao shellcode observado em explorações norte-coreanas anteriores”, disse o Google, observando que o defeito de segurança foi relatado ao fornecedor afetado e está em processo de correção.
O Google disse que está retendo detalhes técnicos e análises das explorações até que um patch esteja disponível.
Além de atacar os pesquisadores com explorações de dia zero, os caçadores de malware do Google também pegaram o grupo APT distribuindo uma ferramenta autônoma do Windows que tem o objetivo declarado de “baixar símbolos de depuração dos servidores de símbolos da Microsoft, Google, Mozilla e Citrix para engenheiros reversos”.
O código-fonte do utilitário, publicado pela primeira vez no GitHub há um ano, foi atualizado várias vezes com recursos para ajudar no download rápido e fácil de informações de símbolos de diversas fontes diferentes.
No entanto, o Google alerta que a ferramenta foi manipulada para sequestrar dados das máquinas dos usuários.
“A ferramenta também tem a capacidade de baixar e executar código arbitrário de um domínio controlado por um invasor. Se você baixou ou executou esta ferramenta, a TAG recomenda tomar precauções para garantir que seu sistema esteja em um estado limpo conhecido, provavelmente exigindo a reinstalação do sistema operacional”, disse o Google.
Este não é o primeiro caso documentado de hackers do governo norte-coreano visando pesquisadores de segurança, especialmente aqueles que operam no espaço ofensivo.
Em janeiro de 2021, o Google detetou uma “entidade apoiada pelo governo com sede na Coreia do Norte” que visava e pirateava sistemas informáticos pertencentes a investigadores de segurança que trabalhavam na investigação e desenvolvimento de vulnerabilidades em diferentes empresas e organizações.
Essa campanha, que foi bem organizada em diversas plataformas online, incluiu comprometimentos de navegadores de sites com armadilhas e atividades sustentadas de toque direto em sites de mídia social.