Os agentes de ameaças apoiados pelo governo estão a utilizar exploits de zero-day para infetar investigadores de segurança e divulgar informações críticas sobre vulnerabilidades.
A indústria acredita que uma campanha de atores apoiados pelo governo norte-coreano está a utilizar explorações de “zero-day” para visar organizações que trabalham em investigação de segurança e desenvolvimento de vulnerabilidades. O grupo de análise de ameaças da Google afirma que tem vindo a acompanhar a campanha desde janeiro de 2021 e descobriu recentemente um novo ataque. “Estamos cientes de que pelo menos uma exploração de zero-day foi usada para atingir investigadores de segurança nas últimas semanas”, diz o grupo em um comunicado. “A vulnerabilidade foi relatada ao fornecedor afetado e está em processo de correção.”
A tecnológica também emitiu uma notificação antecipada para avisar as pessoas potencialmente afetadas das suas descobertas iniciais. Os cibercriminosos utilizaram redes sociais como o X (antigo Twitter) para estabelecer uma relação com os seus alvos. “Numa ocasião, mantiveram uma conversa de meses, tentando colaborar com um investigador sobre temas de interesse mútuo. Após o contacto inicial, passaram para uma aplicação de mensagens encriptadas”.
Uma vez feito isso, o grupo enviou um ficheiro malicioso que incluía pelo menos um zero-day num pacote de software amplamente utilizado que a Google se abstém de nomear na notificação. Uma vez que a intrusão foi bem-sucedida, o shellcode executou uma série de verificações de máquina anti-virtual para enviar as informações recolhidas e capturas de ecrã para um domínio C2 controlado pelos criminosos.
Para além das explorações de zero-day, os autores da ameaça também colocaram uma ferramenta independente do Windows que desenvolveram para descarregar símbolos de depuração e metadados para software crítico dos servidores da Microsoft, Mozilla, Google e Citrix.
“Esta ferramenta parece ser útil para descarregar rápida e facilmente informações sobre símbolos de várias fontes diferentes. O código-fonte desta ferramenta foi publicado pela primeira vez no GitHub em 30 de setembro de 2022, com várias atualizações lançadas desde então.”
Os servidores de símbolos fornecem informações adicionais sobre um binário que podem ser úteis na depuração de problemas de software ou na investigação de vulnerabilidades. Têm também a capacidade de descarregar e executar código arbitrário a partir de um domínio controlado pelo criminoso.