FlagMartes, 25 Septiembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

fireeye

 

FireEye anunció el pasado 2 de febrero, la vulnerabilidad del día-cero de Adobe Flash (CVE-2018-4878) impulsada por un grupo de ciber espionaje de Corea del Norte identificado como APT37 (Reaper).

Durante el análisis de recientes actividades del APT37, se ha encontrado que las operaciones del grupo se han expandido en rango y sofisticación, desde un conjunto de herramientas incluyendo acceso a vulnerabilidades día-cero y anti-malware.

Los investigadores de FireEye evaluaron que las actividades se llevan a cabo, de parte del gobierno Norcoreano, con el desarrollo de artefactos de malware alineados con los intereses del Estado de Corea del Norte. FireEye iSIGHT Intelligence cree que el APT37 es consistente con la actividad reportada públicamente como Scarcruft y Grup123.

Las operaciones del APT37, además de su proximidad con el gobierno de Corea del Norte, presentan cinco aspectos específicos:

• Segmentación: Mientras que apunta a varios sectores industriales, incluyendo químicos, electrónicos, manufactura, aeroespacial, automotriz y salud de Japón, Vietnam y el Medio Oriente, su zona de enfoque está en Corea del Sur.

• Tácticas de Infección Inicial: Las técnicas de ingeniería social están hechas a la medida específicamente para los blancos deseados, como las relaciones estratégicas por la web típicas de las operaciones de ciber-espionaje específico, y el uso de sitios web que contienen reparto de archivos torrent para distribuir el malware más indiscriminadamente.

• Vulnerabilidades explotadas: Las vulnerabilidades del procesador de palabras Hangul (HWP) así como las de Adobe Flash son explotadas frecuentemente. El grupo demostró acceso a vulnerabilidades de día-cero (CVE-2018-0802) y la habilidad para incorporarlas en sus operaciones.

• Infraestructura de comando y control: Servidores comprometidos, plataformas de mensajería y proveedores de servicios de nube son utilizados para evitar la detección. El grupo demuestra una sofisticación creciente, mejorando su seguridad operacional a lo largo del tiempo, que han estado monitoreando.

• Malware: Hay un conjunto diverso de malware para intrusión inicial y exfiltración. Junto con el malware personalizado usado para propósitos de espionaje, el APT37 también tiene acceso a uno que es destructivo.

El reporte completo está adjunto y la empresa ha publicado un post relacionado en el blog. Los aspectos clave de la investigación incluyen:

• APT37 está incrementando el alcance de sus operaciones más allá de Corea del Sur
• Las industrias objetivo incluyen aeroespacial y defensa, gobierno, medios y entretenimiento
• El grupo recientemente explotó la vulnerabilidad del día-cero de Abode Flash Player que representa un nivel preocupante de su sofisticación técnica.