Un actor de amenazas perteneciente a la inteligencia norcoreana quemó dos nuevas vulnerabilidades el mes pasado en un intento de robar a la industria de las criptomonedas.

La mayoría de los delitos cibernéticos financieros son llevados a cabo por ciberdelincuentes de nivel medio y bajo que buscan dinero fácil. No es así con Corea del Norte, cuyas sofisticadas tácticas cibernéticas multimillonarias y de miles de millones de dólares contra la industria privada en Occidente han ayudado a impulsar sus programas de armas nucleares, según las autoridades estadounidenses.

Su última travesura es una de las más avanzadas hasta el momento, ya que combina problemas previamente desconocidos en los navegadores Windows y Chromium y luego agrega un rootkit a la mezcla para lograr un acceso profundo al sistema antes de robar a los objetivos.

El 21 de agosto, Google lanzó una actualización de Chrome que incluía 38 correcciones de seguridad. Sin embargo, la más destacada de todas fue CVE-2024-7971.

CVE-2024-7971 era un problema de confusión de tipos en el motor V8 que ejecuta JavaScript en Chrome y otros navegadores basados ​​en Chromium. Mediante una página HTML especialmente diseñada, un atacante podía corromper el montón de memoria del navegador y aprovecharse para obtener capacidades de ejecución remota de código (RCE). El problema obtuvo una calificación de gravedad «alta» de 8,8 sobre 10 en CVSS.

No era solo que el error fuera grave, sino que también estaba siendo explotado activamente.

Microsoft, cuyo Centro de Inteligencia de Amenazas (MSTIC) y Centro de Respuesta de Seguridad (MSRC) informaron originalmente el problema a Google, ahora ha dejado en claro lo que está pasando. En una publicación de blog del 30 de agosto, Microsoft reveló que una entidad dentro de la Oficina 121 de la Oficina General de Reconocimiento de Corea del Norte, una APT que rastrea como Citrine Sleet (también conocida como AppleJeus, Labyrinth Chollima, UNC4736 y Hidden Cobra), utilizó CVE-2024-7971 en una campaña dirigida a empresas de criptomonedas para obtener ganancias financieras.

Conocido por apuntar a instituciones financieras, un ataque típico de Citrine Sleet comienza con un sitio web falso enmascarado, por ejemplo, como una plataforma de comercio de criptomonedas. Puede usar ese sitio como plataforma de lanzamiento para ofertas de trabajo falsas o para engañar a las víctimas para que descarguen una billetera de criptomonedas falsa o una aplicación de comercio con su troyano personalizado, AppleJeus.

En esta última campaña, las víctimas fueron atraídas mediante tácticas de ingeniería social desconocidas al dominio voyagorclub[.]space. Aquellos que se conectaron al dominio activaron automáticamente el exploit de corrupción de memoria de día cero en Chromium.

Citrine Sleet, que no se conformó con un solo error de alta gravedad, encadenó su exploit RCE de Chromium a un segundo error de alta gravedad, CVE-2024-38106. CVE-2024-38106 es una escalada de privilegios en el kernel de Windows que permite a un atacante obtener valiosos privilegios a nivel de sistema. (Su modesta puntuación CVSS de 7,0 se puede atribuir a su complejidad y a su requisito de acceso local existente a una máquina objetivo).

Microsoft parcheó CVE-2024-38106 el 13 de agosto, menos de una semana antes de descubrir esta última actividad de Citrine Sleet. Cabe destacar que también parece haber sido explotado recientemente por un actor de amenazas completamente diferente.