Ataques cibernéticos alavancam Adobe Zero-Day

KISA (Korea Internet & Security Agency) informou a existência de uma vulnerabilidade zero-day no Adobe Flash, que fora confirmada pela Adobe

Por: Redação, ⌚ 09/02/2018 às 15h05 - Atualizado em 09/02/2018 às 17h13

A KISA (Korea Internet & Security Agency) informou a existência de uma vulnerabilidade zero-day no Adobe Flash, que fora confirmada pela Adobe no último dia 01. Após o anúncio, a FireEye iniciou a investigação, focando nas versões Adobe Flash Player 28.0.0.137 e anteriores.

 

Vulnerabilidades zero-day são as brechas encontradas e exploradas por hackers em softwares ou sistemas operacionais, antes que os desenvolvedores tenham tempo de resposta ao incidente. Desta forma, o invasor pode assumir o controle do sistema afetado.

 

“Acreditamos que os atores desta ação zero-day do Flash sejam membros de um grupo norte-coreano conhecido como Reaper. Consideramos sua nacionalidade, pois já os vimos carregar dados erroneamente (envio e controle) para servidor no espaço de IP norte-coreano. Seu maior foco de ameaças é a Coreia do Sul, visando governo, Forças Armadas e a base industrial de defesa, assim como outros setores da indústria. O grupo demonstra também interesses previsíveis, nos desertores e no esforço para a unificação, por exemplo”, avalia John Hultquist, diretor de análise de inteligência da FireEye.

 

“Este é um dos atores norte-coreanos que nos preocupa em relação aos Jogos Olímpicos de Inverno. Eles podem estar motivados na coleta de informações para, possivelmente, planejar e executar um ataque. Nossas equipes de especialistas conectam os ataques a outros atores norte-coreanos, mas não os observaram no envolvimento de atividade disruptiva ou destrutiva. Embora não tenham visto a execução, foi observada a implantação de softwares de limpeza”, complementa.

 

Atribuição da ameaça e cenário de ataque

 

O grupo norte-coreano TEMP.Reaper – ou apenas Reaper – é tido como principal suspeito pelo ataque. A FireEye observou que seus operadores interagiram diretamente com a infraestrutura de comando e controle de endereços de IP atribuídos à rede STAR-KP em Pyongyang, capital da Coreia do Norte. A rede STAR-KP é uma joint venture entre a Corporação de Correios e Telecomunicações do Governo da Coreia do Norte e a Loxley Pacific, com sede na Tailândia.

 

Historicamente, a maioria dos seus alvos enfoca o governo sul-coreano, especialmente a área militar e a Base Industrial de Defesa. No entanto, eles expandiram a atuação para outros alvos internacionais no último ano, com temas de importância direta para a República Popular Democrática da Coreia (DPRK, sigla em inglês), tais quais os esforços de unificação da Coreia e os desertores da Coreia do Norte.

 

Em 2017, a FireEye iSIGHT Intelligence descobriu o malware wiper recentemente desenvolvido e implementado pelo TEMP.Reaper, identificado como RUHAPPY. Embora os pesquisadores da FireEye tenham observado outros grupos suspeitos de ameaças da Coreia do Norte empregar softwares de limpeza em ataques disruptivos, como o TEMP.Hermit, até o presente momento, não foi observado o uso ativo do malware wiper contra quaisquer alvos por parte do TEMP.Reaper.

 

Ao realizar a análise da cadeia de exploração em andamento, aponta-se que a vulnerabilidade zero-day do Flash é distribuída por meio de um documento malicioso ou uma planilha com um arquivo em formato SWF incorporado. Após a abertura e exploração bem-sucedida, uma chave de descriptografia aciona uma carga útil, a qual seria baixada de sites de terceiros comprometidos e hospedados na Coreia do Sul. A análise preliminar indica que a vulnerabilidade provavelmente tenha sido utilizada para distribuir o malware DOGCALL, anteriormente direcionado a vítimas sul-coreanas.

 

Recomendações

 

A Adobe afirmou que planeja liberar uma solução ainda nesta semana. Até então, a FireEye recomenda aos seus clientes e usuários comuns que utilizem o Flash com cautela, especialmente se precisarem acessar sites sul-coreanos e que evitem abrir documentos suspeitos, como planilhas do Excel. Devido à publicação da vulnerabilidade antes da disponibilidade do patch, é provável que outros grupos criminais e estatais tentem explorar esta vulnerabilidade a curto prazo.

 



Newsletter

Rangel Rodrigues
Graça Sermoud
Marcos Semola
Joaquim Garcia

/ VEJA TAMBÉM



/ COMENTÁRIOS