Corea del Norte explota vulnerabilidades dia cero en el Procesador de textos principal de Corea del Sur

FireEye sospecha que Corea del Norte es responsable de una serie de ataques contra Corea del Sur que dependen de una vulnerabilidad dia cero en el procesador de textos más popular del Sur.

Los expertos en seguridad de FireEye especulan que Corea del Norte ha llevado a cabo ataques cibernéticos contra entidades de Corea del Sur mediante la explotación de una vulnerabilidad día cero (CVE-2.015-6585) en un programa de procesamiento de texto ampliamente utilizado en ese país, el procesador de texto Hangul.

De acuerdo con un informe publicado por FireEye, el procesador de texto Hangul es un software propietario utilizado principalmente por el gobierno y las instituciones públicas en Corea del Sur, por esta razón, Corea del Norte supuestamente explotó el vector de ataque.

La CVE-2015-6585 se arreglo hace unos días por el desarrollador del procesador de texto Hangul, Hancom.

Los expertos de FireEye han advertido que la atribución es definitiva, pero la circunstancia, el escenario de ataque y el objetivo elegido para dirigir la amenaza apunta a la investigación a creer que Corea del Norte está detrás de los ataques cibernéticos.

“Aunque no es concluyente, la focalización de un software de procesamiento de textos de propiedad de Corea del Sur sugiere fuertemente un interés específico en los objetivos de Corea del Sur, y con base en las similitudes de código y la superposición de infraestructura, la inteligencia de FireEye evalúa que esta actividad puede asociarse con actores de amenazas basadas en Corea del Norte . “, afirma el informe publicado por FireEye.

Los investigadores explicaron que una vez que una instancia maliciosa del procesador de textos Hangul se abre por las víctimas, se instala una puerta trasera en el blanco. FireEye apodo HANGMAN a esta puerta trasera, puesto que implementa funcionalidades comunes a dicha categoría de malware.

“Todos los documentos HWPX maliciosos instalan copias similares de un backdoor que llamamos HANGMAN. HANGMAN es capaz de cargar y descargar archivos, procesos y gestión del sistema de archivos, recopilar información del sistema, y ​​actualizar su configuración. La puerta trasera también encapsula su protocolo de comunicación con SSL. HANGMAN comienza comunicaciones mediante el envío de un handshake SSL legítimo a su servidor de mando y control (C2). Luego continúa comunicandose mediante mensajes de cabecera SSL, pero el payload del mensaje es un protocolo binario personalizado. “Continúa el informe.

Al analizar el código de la puerta trasera de HANGMAN los investigadores descubrieron la presencia de direcciones IP no modificables que pertenecen a la infraestructura de comando y control, estas direcciones IP se han relacionado con otros ataques sospechosos relacionados con Corea del Norte.

HANGMAN presenta varias similitudes con otra puerta trasera descubierta por FireEye apodada Peachpit, que se atribuyó por los expertos a Corea del Norte.

“Las variantes de HANGMAN esparcidas por los documentos HWPX utilizan funciones que son muy similares a las observadas en otras familias de malware utilizadas por presuntos actores basados ​​en Corea del Norte, como la puerta de atrás que llamamos Peachpit. Tanto Peachpit y HANGMAN incorporan una función donde se transmiten los comandos de Windows a la puerta trasera del servidor C2 remoto. “, Señala el informe.

Leave a Reply