- Actores que se presume cuentan con apoyo del gobierno de Corea del Norte, seguidos por Google TAG, siguen apuntando a investigadores de seguridad dedicados a la investigación y desarrollo de vulnerabilidades, y en una campaña reciente se identificó un 0-day explotado activamente
- Los atacantes establecen una relación en X y luego trasladan la conversación a Signal, WhatsApp o Wire; a los investigadores con quienes ya generaron confianza les envían archivos maliciosos que contienen un 0-day en paquetes de software populares
- Tras el éxito del exploit, el shellcode realiza detección de máquinas virtuales y envía la información recopilada y capturas de pantalla a un dominio C2 controlado por los atacantes
- GetSymbol, una herramienta para Windows sospechada de ser una vía de infección separada, parece una utilidad para descargar símbolos de depuración, pero puede descargar y ejecutar código arbitrario desde un dominio controlado por los atacantes
- TAG agregó los dominios relacionados a Safe Browsing, envió alertas de atacantes respaldados por gobiernos a usuarios objetivo de Gmail y Workspace, y recomienda Chrome Enhanced Safe Browsing y mantener los dispositivos actualizados
Ataques recurrentes contra investigadores de seguridad
- En enero de 2021, Google Threat Analysis Group (TAG) reveló una campaña en la que un actor respaldado por el gobierno de Corea del Norte apuntaba a investigadores de seguridad dedicados a la investigación de vulnerabilidades mediante exploits 0-day
- Durante los dos años y medio siguientes, TAG siguió rastreando y bloqueando campañas de la misma familia, encontrando 0-days para proteger a los usuarios en línea
- La nueva campaña identificada recientemente podría corresponder al mismo actor por sus similitudes con actividades anteriores
- En las últimas semanas, se usó al menos un 0-day explotado activamente en ataques dirigidos a investigadores de seguridad, y la vulnerabilidad fue reportada al proveedor afectado
- El proveedor publicó un parche el 12 de septiembre de 2023, y TAG publicó un análisis de causa raíz conforme a la política de divulgación de Google
Entrega de archivos maliciosos tras crear vínculos sociales
- Como en campañas anteriores, los atacantes primero contactan a los investigadores objetivo en redes sociales como X
- En un caso, intentaron colaborar con un investigador de seguridad manteniendo conversaciones durante varios meses a partir de intereses comunes
- La conversación iniciada en X se trasladó a mensajeros cifrados como Signal, WhatsApp y Wire
- Una vez establecida la confianza, los atacantes envían archivos maliciosos que contienen al menos un 0-day en paquetes de software populares
- Si el exploit tiene éxito, el shellcode realiza varias comprobaciones anti-máquina virtual
- Luego envía la información recopilada y capturas de pantalla a un dominio de comando y control controlado por los atacantes
- La forma en que está construido el shellcode es similar a la observada en exploits norcoreanos anteriores
Posible vía de infección secundaria mediante GetSymbol
- Además de la segmentación con 0-days, los atacantes también desarrollaron una herramienta independiente para Windows
- La herramienta se presenta como destinada a descargar símbolos de depuración desde servidores de símbolos de Microsoft, Google, Mozilla y Citrix para reverse engineers
- El código fuente se publicó por primera vez en GitHub el 30 de septiembre de 2022, y desde entonces se distribuyeron varias actualizaciones
- En apariencia, parece una utilidad para descargar rápidamente información de símbolos desde múltiples fuentes
- Los símbolos brindan información adicional sobre binarios y pueden ayudar a depurar problemas de software o a investigar vulnerabilidades
- Sin embargo, la herramienta también incluye la capacidad de descargar y ejecutar código arbitrario desde un dominio controlado por los atacantes
- TAG recomienda que, si se descargó o ejecutó esta herramienta, se verifique que el sistema esté en un estado limpio conocido; puede ser necesario reinstalar el sistema operativo
Medidas de protección de Google
- TAG usa los resultados de su investigación sobre actores de amenazas graves para mejorar la seguridad y protección de los productos de Google
- Todos los sitios web y dominios identificados se agregaron a Safe Browsing en cuanto fueron descubiertos para proteger a los usuarios de abusos adicionales
- Se enviaron alertas de atacantes respaldados por gobiernos a los usuarios objetivo de Gmail y Workspace
- Se recomienda a los posibles objetivos activar Enhanced Safe Browsing de Chrome y mantener todos sus dispositivos actualizados
- A medida que aumenta la comprensión de las tácticas y técnicas, también pueden fortalecerse las capacidades de threat hunting y la protección de usuarios en toda la industria
Sitios y cuentas controlados por los atacantes
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
IPs/dominios C2
23.106.215[.]105www.blgbeach[.]com
-
Cuenta de X
-
Cuenta de Wire
@paul354
-
Cuenta de Mastodon
1 comentarios
Opiniones en Hacker News
La herramienta getsymbol de GitHub recibió 214 estrellas, pero no se ve ningún banner que indique que es una herramienta maliciosa.
En un issue reciente hay un enlace a la publicación del blog de Google, pero eso es todo.
Si alguien de GitHub está mirando, recomiendo firmemente agregar un banner o modal de advertencia de backdoor a esta herramienta y a otro software con backdoors conocidos (por ejemplo, forks).
Yo también lo he hecho varias veces :(
Es mucho más probable que el backdoor esté en el release binario o en el binario de actualización automática.
Si lo compilas tú mismo y luego aceptas la actualización automática, puedes infectarte; además, el binario pesa más de 15 MB, más que suficiente para esconder un backdoor pequeño.
Si tienen puntos en común con otros proyectos obscure, podría ser una señal de que esas cuentas son cuentas títere.
Me pregunto qué tan confiables son los sitios populares de descarga.
Por ejemplo, los binarios de ffmpeg para Windows[1] están alojados en el sitio de una persona particular.
Se pueden verificar checksums y demás, pero aun así no hay garantía de que correspondan a un commit específico de Git.
En descargas alojadas fuera de GitHub o de manera no oficial, sin builds reproducibles o comprobadas, básicamente tiendo a asumir que hay un actor estatal detrás.
¿Estoy siendo paranoico? ¿Cómo resuelven esto los gestores de paquetes de Linux/Mac?
[1] https://ffmpeg.org/download.html
Eso ocurrió de verdad con Linux Mint.
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
Si no revisas los issues, parece completamente normal.
https://github.com/dbgsymbol/getsymbol
Las descargas para Windows las proporciona "shinchiro" en SourceForge, y las de MacOS las proporciona "stolendata" en stolendata.net.
Todavía está bastante en una etapa inicial.
No es impactante ni nuevo, pero sí interesante.
¿Por qué usar un 0-day contra investigadores de seguridad? Mi suposición es que es una prueba con ventajas.
Si funciona contra un investigador de seguridad, pueden considerarlo una buena vulnerabilidad y desplegarlo en el mundo real; a largo plazo, probablemente también calcularon la posibilidad de obtener 1+x 0-days de ese investigador.
También es una situación interesante desde el punto de vista del investigador de seguridad.
Si eres lo suficientemente cuidadoso y puedes fingir ser lo bastante tonto, quizás puedas cosechar "gratis" vectores de ataque frescos o 0-days, pero si te sobreestimas, te hackean de inmediato.
Esta herramienta también tiene una función para descargar y ejecutar código arbitrario desde un dominio controlado por el atacante.
En otras palabras, es una actualización automática.
Es irónico que, gracias a que Big Tech adoctrinó al público para aceptar esta dependencia o eliminó por la fuerza las alternativas, ahora esa actitud dependiente y confiada se haya extendido hasta los investigadores de seguridad y vuelva para morderlos.
Algunos de nosotros sabíamos desde el principio a dónde llevaría esta actitud, y ni siquiera todos éramos investigadores de seguridad.
Simplemente habíamos visto otros efectos negativos de permitir que alguien metiera cosas en nuestras máquinas y las ejecutara, y conectamos ambas cosas.
Es pura especulación, pero acaba de salir una nueva actualización de seguridad de macOS, e incluye esto:
“Impacto: procesar una imagen creada con fines maliciosos puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema podría haber sido explotado activamente.”
https://support.apple.com/en-us/HT213906
No soy de apostar, pero sospecho que la vulnerabilidad que se está discutiendo es esta.
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
Lo que me intriga es esto:
Estas personas de Corea del Norte claramente tienen acceso a internet sin restricciones, porque en la práctica lo necesitan para encontrar 0-days, y claramente al menos entienden inglés.
Entonces, ¿cómo es que no se toparon por casualidad con medios que muestran cosas que los medios estatales ocultan?
Siendo realistas, como cualquier agencia de inteligencia de otro país, seguramente los eligen por su patriotismo.
Esta pregunta es parecida a preguntar por qué un agente de inteligencia estadounidense, aun teniendo acceso a información sobre Corea del Norte más allá de la propaganda, no deserta a Corea del Norte por su mejor cobertura médica, sus escuelas sin tiroteos masivos y su mejor gestión de basura.
Probablemente no valoran los aspectos de la sociedad norcoreana que parecen mejores, y puede que tampoco crean que realmente sean mejores en determinadas situaciones.
No veo muchas razones para que la inteligencia norcoreana sea distinta.
Probablemente sí lo conocen.
Tienen otros medios para controlarlos: la zanahoria son los privilegios dentro de Corea del Norte, y el garrote son las consecuencias para ellos y sus familias si cruzan la línea.
Irse a un país más libre es difícil para cualquier norcoreano, y por la zanahoria y el garrote probablemente tampoco puedan simplemente dejar de hackear.
Es muy probable que estén bajo vigilancia estrecha.
Algunos quizá realmente crean la propaganda, y parece que estas personas reciben un trato bastante bueno.
Eso no exonera a Corea del Norte de sus faltas.
En los lugares donde trabajan, suelen estar bajo vigilancia estrecha y muchas veces reciben amenazas contra sus familias.
Me pregunto qué tan probable es que un investigador de seguridad ejecute un binario de Windows recibido de un desconocido por chat.
Esto ya es casi sentido común, incluso antes de ser una introducción a seguridad.
Más bien, diría que los investigadores habrían tenido la oportunidad de jugar con ese binario en un entorno seguro.
Como el atacante publicó el código fuente, ni siquiera habría hecho falta hacer ingeniería inversa.
Son black hats buenos.
Ahora que lo pienso, ¿hay alguien que pueda encontrar el exploit en el repositorio enlazado? Me da curiosidad saber qué hace, pero me da flojera revisar todos los archivos.
El artículo original también podría haber puesto ese enlace y explicar en qué se basaron para determinar que este proyecto estaba vinculado con hackers norcoreanos.
A los profesionales jóvenes de infosec se les anima a obtener certificaciones como OSCP y eJPT, y en ese negocio de las certificaciones muchas veces hay que comprometer máquinas conocidas.
Por eso se genera una cultura de “ayudarse” mutuamente en servidores de Discord, y parte de esa ayuda viene en forma de binarios o código fuente ofuscado.
Lo ejecutan en la laptop de trabajo que usan para pentesting.
Esa laptop tiene claves SSH para entrar al servidor donde redactan reportes, y si termina comprometida, Corea del Norte acaba teniendo acceso a datos y vulnerabilidades de empresas privadas estadounidenses.
Puede que de hecho haya visto algo así.
Decían que algún documento leído por cierto programa explotaba un 0-day, y que habían recibido ese documento.
Porque si los publican, probablemente dejarían de servir.
Si el entorno de un investigador de seguridad no está bien diseñado, ya sea por problemas de presupuesto o por descuido, esas cosas pasan de verdad, y el atacante puede llegar muy rápido hasta la carnita sabrosa.
Me preocupa que los investigadores hagan attribution de estas campañas con tanta tranquilidad.
Nunca explican la metodología de attribution, pero lo que más les llama la atención a los no técnicos siempre es esa attribution.
En este artículo, las dos primeras palabras ya son el actor atribuido.
Pero no hay absolutamente ninguna forma de demostrarlo.
En internet, la attribution es realmente, realmente, realmente difícil.
Como no tenemos forma de juzgar de manera independiente si acertamos o no, ni siquiera sabemos qué tan difícil es.
Sería ingenuo pensar que la attribution no tiene nada que ver con motivaciones políticas.
Con base en eso, asumo que la attribution suele ser correcta.
Pero, dando un paso atrás y viéndolo objetivamente, el hecho de que la fuente de esa inteligencia sea invasiva para la privacidad se ve bastante hipócrita.
Me sorprende que Corea del Norte encuentre suficientes hackers avanzados y personal de ciberseguridad para hacer este tipo de cosas, pese a que el nivel de educación en computación de la población general es tan bajo.
Si un niño norcoreano muestra talento para las matemáticas, queda bajo observación; si es lo suficientemente sobresaliente, lo envían a una escuela especial de matemáticas, donde prácticamente no aprende casi nada más.
Después lo mandan a la única universidad técnica, donde estudia programación de computadoras de forma intensiva durante años.
Si cumple los estándares, lo envían a China, donde aprovecha el mejor acceso a internet para dedicarse desde robar oro de MMORPG hasta ataques de phishing y búsqueda de 0-days.
Suena a una vida sombría: jornadas de 12 horas, presión constante por resultados y dormitorios estrechos.
O sea, algo parecido a Silicon Valley ;)
Incluso el dictador supremo fue a la secundaria y preparatoria en Suiza.
“Todos los sitios web y dominios identificados en cuanto se descubren se agregan a Safe Browsing para proteger a los usuarios de explotación adicional”.
En el navegador Brave, dbgsymbol.com no muestra ninguna advertencia de Safe Browsing.
Advertencia: es un vector desconocido.