Fragilidade em VPNs Sul-Coreanas
6 de Agosto de 2024

O Centro Nacional de Segurança Cibernética (NCSC) da Coreia do Sul alerta que hackers patrocinados pelo estado da DPRK se aproveitaram de falhas em uma atualização de software de VPN para implantar malware e invadir redes.

O comunicado conecta essa atividade com um projeto de modernização de fábricas industriais em todo o país que Kim Jong-un, o presidente da Coreia do Norte, anunciou em janeiro de 2023, acreditando que os hackers têm como objetivo roubar segredos comerciais da Coreia do Sul.

Os dois grupos de ameaças implicados nesta atividade são Kimsuky (APT43) e Andariel (APT45), atores patrocinados pelo estado anteriormente vinculados ao notório Grupo Lazarus.

"A Comunidade de Informações atribui estas atividades de hacking às organizações de hacking Kimsuky e Andariel, sob o Bureau Geral de Reconhecimento da Coreia do Norte, notando a natureza sem precedentes das duas organizações visando o mesmo setor simultaneamente para objetivos de política específicos," alerta o NCSC.

No primeiro caso destacado no comunicado, datado de Janeiro de 2024, Kimsuky comprometeu o site de uma organização comercial de construção sul-coreana para disseminar malware aos visitantes.

De acordo com um relatório de fevereiro da ASEC, quando os funcionários tentaram fazer login no site da organização, foram solicitados a instalar um software de segurança necessário chamado "NX_PRNMAN" ou "TrustPKI".

Esses instaladores trojanizados foram assinados digitalmente com um certificado válido da empresa de defesa coreana "D2Innovation", contornando eficazmente as verificações antivírus.

Quando o software trojanizado foi instalado, o malware também foi implantado para capturar capturas de tela, roubar dados armazenados nos navegadores (credenciais, cookies, favoritos, histórico) e roubar certificados GPKI, chaves SSH, Sticky Notes e dados do FileZilla.

Essa campanha infectou os sistemas de empresas de construção sul-coreanas, instituições públicas e governos locais.

O segundo caso ocorreu em abril de 2024, quando o NCSC diz que os atores de ameaças de Andariel exploraram uma vulnerabilidade no protocolo de comunicação de um software VPN doméstico para distribuir falsas atualizações de software que instalam o malware DoraRAT.

"Em abril de 2024, o grupo de hacking Andariel explorou vulnerabilidades em softwares de segurança doméstica (VPN e segurança de servidor) para substituir arquivos de atualização por malware, distribuindo malware de controle remoto chamado 'DoraRAT' para empresas de construção e maquinário," explica uma versão traduzida do comunicado do NCSC.

O NCSC diz que a vulnerabilidade permitiu que os atores de ameaças falsificassem pacotes para os PCs dos usuários, que os identificaram erroneamente como atualizações legítimas do servidor, permitindo que as versões maliciosas fossem instaladas.

DoraRAT é um trojan de acesso remoto (RAT) leve com funcionalidade mínima que permite que ele opere de forma mais furtiva.

A variante observada no ataque específico foi configurada para roubar arquivos grandes, como documentos de design de maquinário e equipamentos, e exfiltrá-los para o servidor de comando e controle do atacante.

O NCSC diz que os operadores de sites em risco de serem alvo de hackers patrocinados pelo estado devem solicitar inspeções de segurança à Agência de Segurança & Internet da Coreia (KISA).

Adicionalmente, recomenda-se que políticas rigorosas de aprovação de distribuição de software sejam implementadas e seja exigida autenticação de administrador para a etapa final de distribuição.

Outros conselhos genéricos incluem atualizações oportunas de software e sistemas operacionais, treinamento constante de segurança para funcionários e monitoramento de comunicados de cibersegurança governamentais para identificar e interromper ameaças emergentes rapidamente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...