Ciberdelincuencia, Ciberguerra / Ataques de Estados-nación, Gestión del fraude y ciberdelincuencia Los usuarios de criptomonedas son el objetivo de la última campaña que involucra al rootkit FudModule Akshaya Asokan (asokan_akshaya) ,Mathew J. Schwartz (euroinfosec) • 2 de septiembre de 2024 El «Monumento a la fundación del partido» de Corea del Norte en Pyongyang. (Imagen: Peter Anta/Pixabay) Un grupo de piratas informáticos vinculado a Corea del Norte explotó una vulnerabilidad de día cero en el navegador web de código abierto Google Chromium para intentar robar criptomonedas. Ver también: Seminario web | 2024 Phishing Insights: Lo que 11,9 millones de comportamientos de usuarios revelan sobre su riesgo Así lo advierte Microsoft en un nuevo informe, que detalla la campaña con motivaciones económicas, que explotó una falla ahora parcheada en V8, el motor de JavaScript y WebAssembly de código abierto y alto rendimiento de Google, que está escrito en C++. La falla, que ahora se conoce como CVE-2024-7971, se puede explotar para ejecutar código de forma remota en un sistema objetivo y existe en versiones de Chromium anteriores a la 128.0.6613.84, que comenzó a implementarse el 21 de agosto. El Centro de Respuesta de Seguridad de Microsoft notificó a Google sobre la falla el 19 de agosto. Google calificó la gravedad de la vulnerabilidad como «alta», ya que se puede usar para ejecutar código arbitrario de forma remota. Microsoft atribuye la campaña que vio dirigida a la vulnerabilidad a un actor de amenazas al que bautizó con el nombre en código Citrine Sleet, que también se conoce como AppleJeus, Labyrinth Chollima, UNC4736 y Hidden Cobra. El grupo con motivaciones económicas ha sido vinculado a la agencia de operaciones cibernéticas de Corea del Norte, Bureau 121, que forma parte de la Oficina General de Reconocimiento del ejército. En esta campaña, los atacantes utilizaron sitios web falsos y solicitudes de empleo para atraer a los objetivos para que descargaran una billetera de criptomonedas maliciosa o una aplicación comercial, dijo Microsoft. Cualquiera que cayera en la trampa sería redirigido a un dominio controlado por el atacante diseñado para explotar de forma remota la vulnerabilidad para instalar un rootkit llamado FudModule que se ejecuta en la memoria del dispositivo objetivo. El rootkit también intentó explotar una vulnerabilidad de escalada de privilegios del kernel de Windows identificada como CVE-2024-38106, para poder escapar de un sandbox de Windows. «Una vez que la explotación de escape del sandbox tuvo éxito, el rootkit emplea técnicas de manipulación directa de objetos del kernel para interrumpir los mecanismos de seguridad del kernel, se ejecuta exclusivamente desde el modo de usuario y realiza la manipulación del kernel a través de un primitivo de lectura/escritura del kernel», dijo Microsoft, que lanzó una actualización de software el 13 de agosto para corregir esa vulnerabilidad. Los investigadores no detallaron cuántas personas u organizaciones fueron atacadas o fueron víctimas de la campaña dirigida a las criptomonedas. FudModule es un sofisticado malware que ha estado vinculado a múltiples grupos de campañas de piratería de Corea del Norte desde al menos octubre de 2021. El mes pasado, Microsoft advirtió que los atacantes norcoreanos estaban explotando una vulnerabilidad de día cero diferente en el controlador de función auxiliar de Windows (Afd.sys) para WinSock, identificada como CVE-2024-38193, para introducir FudModule en los sistemas objetivo. Los ataques del grupo a menudo implican tácticas de «traiga su propio controlador vulnerable» (también conocido como BYOVD) para introducir vulnerabilidades conocidas que pueden explotar e instalar malware (consulte: Corea del Norte aprovechó el día cero de Windows para implementar Fudmodule). El grupo ejecutó una de esas campañas en el verano de 2023, «dirigidas a individuos específicos en la región asiática a través de ofertas de trabajo inventadas», informó la unidad de software antivirus Avast de Gen Digital en abril. Uno de los objetivos de esos ataques de varias etapas, que apuntaban a una vulnerabilidad de día cero diferente en Windows, era dejar caer un troyano de acceso remoto nunca antes visto con el nombre en código Kaolin en los sistemas de las víctimas, que luego cargaron FudModule, dijo. Avast atribuyó la campaña al grupo de amenazas persistentes avanzadas Lazarus de Corea del Norte. Microsoft rastrea al grupo involucrado en esa campaña como Diamond Sleet, y señala que si bien ese grupo de actividad de amenazas tiene diferencias con Citrine Sleet, es «infraestructura y herramientas compartidas previamente identificadas entre Diamond Sleet y Citrine Sleet, y nuestro análisis indica que esto podría ser un uso compartido del malware FudModule entre estos actores de amenazas». Después de detectar señales de la última campaña, Microsoft dijo que «notificó directamente a los clientes objetivo o comprometidos, proporcionándoles información importante para ayudar a proteger sus entornos». Más fallas de Chromium bajo fuego En su última versión importante de Chromium, que es la versión 128, Google corrigió un total de 38 fallas de seguridad separadas. Otra de esas fallas de seguridad involucraba una vulnerabilidad de confusión de alto riesgo, también en el motor V8, “que permite a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada”, dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos. Identificada como CVE-2024-7965, Google advirtió el 20 de agosto que la vulnerabilidad ya estaba siendo explotada a través de ataques in-the-wild. El miércoles, CISA agregó la falla a su catálogo de vulnerabilidades explotadas conocidas y estableció una fecha límite del 18 de septiembre para que todas las agencias federales civiles corrijan la falla. “Esta vulnerabilidad podría afectar a varios navegadores web que utilizan Chromium, incluidos, entre otros, Google Chrome, Microsoft Edge y Opera”, dijo. La falla fue descubierta por un investigador de seguridad conocido como “TheDog” el 30 de julio y reportada a Google. URL original de la publicación: https://www.databreachtoday.com/north-korean-hackers-tied-to-exploits-chromium-zero-day-a-26181