FireEye reveló la vulnerabilidad del día-cero de Adobe Flash (CVE-2018-4878) impulsada por un grupo de ciber espionaje de Corea del Norte identificado como APT137 (Reaper).

Durante el análisis de recientes actividades del APT137, se ha encontrado que las operaciones del grupo se han expandido en rango y sofisticación, desde un conjunto de herramientas incluyendo acceso a vulnerabilidades día-cero y anti-malware.

Los investigadores de FireEye evaluaron que las actividades se llevan a cabo, de parte del gobierno Norcoreano, con el desarrollo de artefactos de malware alineados con los intereses del Estado de Corea del Norte. FireEye iSIGHT Intelligence cree que el APT137 es consistente con la actividad reportada públicamente como Scarcruft y Grup123.

Las operaciones del APT137, además de su proximidad con el gobierno de Corea del Norte, presentan cinco aspectos específicos:

1. Segmentación: Mientras que apunta a varios sectores industriales, incluyendo químicos, electrónicos, manufactura, aeroespacial, automotriz y salud de Japón, Vietnam y el Medio Oriente, su zona de enfoque está en Corea del Sur.
2. Tácticas de Infección Inicial: Las técnicas de ingeniería social están hechas a la medida específicamente para los blancos deseados, como las relaciones estratégicas por la web típicas de las operaciones de ciber-espionaje específico, y el uso de sitios web que contienen reparto de archivos torrent para distribuir el malware más indiscriminadamente.
3. Vulnerabilidades explotadas: Las vulnerabilidades del procesador de palabras Hangul (HWP) así como las de Adobe Flash son explotadas frecuentemente. El grupo demostró acceso a vulnerabilidades de día-cero (CVE-2018-0802) y la habilidad para incorporarlas en sus operaciones.
4. Infraestructura de comando y control: Servidores comprometidos, plataformas de mensajería y proveedores de servicios de nube son utilizados para evitar la detección. El grupo demuestra una sofisticación creciente, mejorando su seguridad operacional a lo largo del tiempo, que han estado monitoreando.
5. Malware: Hay un conjunto diverso de malware para intrusión inicial y exfiltración. Junto con el malware personalizado usado para propósitos de espionaje, el APT137 también tiene acceso a uno que es destructivo.

Noticias Relacionadas

Fireeye será anfitrión de Cyber Defense Live summit en la ciudad de México3 min read FireEye recomienda implementar ciberseguridad basada en inteligencia5 min read FireEye detalla la campaña WannaCry de Ransomware, su amenaza y manejo de riesgos8 min read FireEye explica el proceso de detección y bloqueo de BADRABBIT3 min read