Vulnerabilidade no Adobe Flash é explorada por grupo norte-coreano

O APT37 (Reaper) é um grupo de ciberespionagem com objetivos alinhados aos do governo da Coreia do Norte e que tem expandido seu alcance e sofisticação

No início de fevereiro foi anunciada a vulnerabilidade zero-day do Adobe Flash (CVE-2018-4878) fomentada por um grupo de ciberespionagem norte-coreano, identificado como APT37 (Reaper).

Durante a análise das recentes atividades do APT37, revelou-se que operações do grupo têm se expandido em alcance e sofisticação, a partir de um conjunto de ferramentas que incluem acesso a vulnerabilidades zero-day e antimalware.

Os pesquisadores da FireEye avaliaram que as atividades são realizadas em nome do governo norte-coreano, com os artefatos de desenvolvimento de malware alinhados aos interesses do Estado da Coreia do Norte. A FireEye iSIGHT Intelligence acredita que o APT37 está consoante à atividade relatada publicamente como Scarcruft e Group123.

As operações do APT37, além da proximidade com o governo norte-coreano, apresentam cinco aspectos específicos:

Segmentação

Embora vise vários setores industriais, incluindo produtos químicos, eletrônicos, manufatura, aeroespacial, automotivo e saúde do Japão, Vietnã e Oriente Médio, o foco é a Coreia do Sul;

Táticas de infecção inicial

Técnicas de engenharia social são adaptadas especificamente aos alvos desejados, como compromissos estratégicos na web típicos das operações de ciberespionagem específicas e o uso de sites de compartilhamento de arquivos torrent para distribuir o malware de forma mais indiscriminada;

Vulnerabilidades exploradas

Há frequência na exploração de vulnerabilidades no processador de texto Hangul (HWP), bem como do Adobe Flash. O grupo demonstra acesso a vulnerabilidades zero-day (CVE-2018-0802) e a capacidade de incorporá-las às operações;

Infraestrutura de comando e controle

Servidores comprometidos, plataformas de mensagens e provedores de serviços em nuvem são utilizados para evitar a detecção. O grupo demonstra sofisticação crescente, melhorando sua segurança operacional ao longo do tempo em que é monitorado;

Malware

Há um conjunto diversificado de malwares para intrusão inicial e exfiltração. Juntamente ao malware personalizado usado para fins de espionagem, o APT37 também possui acesso a um que é destrutivo.

Posts Em Destaque
Posts Recentes
Arquivo
Siga
  • Twitter Basic Square
Tags

© 2013 by Success Consulting. Proudly GlobalMask Soluções em TI

  • LinkedIn Social Icon
  • Facebook Social Icon
  • Twitter Classic
  • Instagram ícone social

 

Comercial@globalmask.com.br

BH | RJ | SP | Maracanaú| Fortaleza | Brasilia | Goiânia | Brasil