FireEye, Inc. (NASDAQ: FEYE), la empresa de seguridad guiada por inteligencia, informó que KISA (Korea Internet Security Agency - KrCERT) publicó un aviso sobre una vulnerabilidad en el Adobe Flash zero-day vulnerability (CVE-2018-4878) que será explotada desde lugares remotos.

Recientemente Adobe confirmó que la vulnerabilidad existe en Adobe Flash Player 28.0.0.137 y anteriores y que una explotación exitosa potencialmente permitiría al atacante tomar control del sistema afectado, por lo que FireEye comenzó a investigar dicha vulnerabilidad.

“Creemos que los actores detrás del reciente Flash zero-day es un grupo norcoreano que rastreamos como Reaper. Tenemos certeza que Reaper es un grupo de Corea del Norte ya que hemos visto que suben datos al comando por error y el servidor de control desde una IP norcoreana. La mayoría de sus obje tivos están enfocados en Corea del Sur buscando al gobierno, ejército e industria de defensa, así como otras industrias. También se han interesado en algunos intereses norcoreanos predecibles como los esfuerzos de unificación y desertores”, dijo John Hultquist, Director de Análisis de Inteligencia de FireEye.

“Este es uno de los actores norcoreanos de los que nos hemos preocupado respecto a los Juegos Olímpicos de Invierno. Pueden aprovechar para reunir información y posiblemente llevar a cabo un ataque. Tenemos ataques conectados a otros actores norcoreanos, pero no hemos visto a este relacionarse con actividad disruptiva o destructiva. Aunque no los hayamos visto ejecutarla, sí los hemos visto desplegar limpiador de malware”, agregó.

Atribución de Amenazas

FireEye evaluó que los actores, empleando este reciente Flash Zero-day, son el grupo norcoreano que ha seguido como TEMP.Reaper. La empresa ha observado que los operadores de TEMP.Reaper interactúan directamente con su comando y controlan infraestructura desde direcciones IP asignadas a la red STAR-KP en Pyongyang. La red STAR-KP es operada como un joint venture entre el sistema Postal y Telecommunications Corporation del Gobierno de Corea del Norte y Loxley Pacific, basada en Tailandia.

Históricamente, la mayoría de sus objetivos han sido enfocados en el gobierno, ejército e industria de defensa de Corea del Sur, sin embargo, se han expandido a otros objetivos internacionales en el último año. Han tomado interés en un asunto de importancia directa de la República Democrática Popular de Corea (RDPC) como los esfuerzos de unificación y los desertores norcoreanos.

El año pasado, FireEye iSIGHT Intelligence descubrió un nuevo limpiador de malware siendo desplegado por TEMP-Reaper, que detectamos como RUHAPPY. Aunque hemos observado a otros grupos sospechosos de amenazas norcoreanos como TEMP.Hermit utilizar limpiadores de malware activamente contra cualquier objetivo.

Escenario de Ataque

Se está llevando a cabo un análisis de la cadena de explotación, pero información disponible apunta al Flash zero-day que está siendo distribuido en un documento malicioso o una hoja de cálculo con el archivo insertado SWF. Cuando se abre y se tiene la explotación exitosa, la clave de desencriptación para la carga encriptada insertada se descarga del sitio de un tercero involucrado en Corea del Sur. Un análisis preliminar indica que la vulnerabilidad era usada para distribuir el malware previamente observado DOGCALL a víctimas de Corea del Sur.

Recomendaciones

Adobe declaró que planea liberar una compostura para este problema en la semana del 5 de febrero de 2018. La recomendación de FireEye a sus clientes es que tengan extrema precaución, especialmente cuando se visiten sitios surcoreanos, y eviten abrir documentos sospechosos, especialmente hojas de Excel. Debido a la publicación de la vulnerabilidad antes de la disponibilidad del parche, es probable que criminales y grupos de naciones adicionales intenten explotar la vulnerabilidad en el corto plazo.

Soluciones de Detección de FireEye

FireEye Email Security, Endpoint Security con Guardia de Exploit habilitada, y productos de Seguridad en Red detectarán el documento malicioso de manera natural. Los clientes de Email Security y Network Security que habilitaron el riskware pueden ver alertas adicionales basadas en contenido sospechoso incrustado en documentos maliciosos.

Para mayor información entre al blog de FireEye: https://www.fireeye.com/blog/threat-research/2018/02/attacks-leveraging-adobe-zero-day.html