Cómo evitar los ataques que se aprovechan del Adobe-Zero Day

FireEye informó que KISA (Korea Internet Security Agency - KrCERT) publicó un aviso sobre una vulnerabilidad en el Adobe Flash zero-day vulnerability que será explotada desde lugares remotos.

Recientemente Adobe confirmó que la vulnerabilidad existe en Adobe Flash Player 28.0.0.137 y anteriores y que una explotación exitosa potencialmente permitiría al atacante tomar control del sistema afectado, por lo que FireEye comenzó a investigar dicha vulnerabilidad.

“Creemos que los actores detrás del reciente Flash zero-day es un grupo norcoreano que rastreamos como Reaper. Tenemos certeza que Reaper es un grupo de Corea del Norte ya que hemos visto que suben datos al comando por error y el servidor de control desde una IP norcoreana. La mayoría de sus obje tivos están enfocados en Corea del Sur buscando al gobierno, ejército e industria de defensa, así como otras industrias. También se han interesado en algunos intereses norcoreanos predecibles como los esfuerzos de unificación y desertores”, dijo John Hultquist, Director de Análisis de Inteligencia de FireEye.

“Este es uno de los actores norcoreanos de los que nos hemos preocupado respecto a los Juegos Olímpicos de Invierno. Pueden aprovechar para reunir información y posiblemente llevar a cabo un ataque. Tenemos ataques conectados a otros actores norcoreanos, pero no hemos visto a este relacionarse con actividad disruptiva o destructiva. Aunque no los hayamos visto ejecutarla, sí los hemos visto desplegar limpiador de malware”, agregó.

ATRIBUCIÓN DE AMENAZAS

FireEye evaluó que los actores, empleando este reciente Flash Zero-day, son el grupo norcoreano que ha seguido como TEMP.Reaper. La empresa ha observado que los operadores de TEMP.Reaper interactúan directamente con su comando y controlan infraestructura desde direcciones IP asignadas a la red STAR-KP en Pyongyang. La red STAR-KP es operada como un joint venture entre el sistema Postal y Telecommunications Corporation del Gobierno de Corea del Norte y Loxley Pacific, basada en Tailandia.

ESCENARIO DE ATAQUE

Se está llevando a cabo un análisis de la cadena de explotación, pero información disponible apunta al Flash zero-day que está siendo distribuido en un documento malicioso o una hoja de cálculo con el archivo insertado SWF. Cuando se abre y se tiene la explotación exitosa, la clave de desencriptación para la carga encriptada insertada se descarga del sitio de un tercero involucrado en Corea del Sur. Un análisis preliminar indica que la vulnerabilidad era usada para distribuir el malware previamente observado DOGCALL a víctimas de Corea del Sur.

RECOMENDACIONES

Adobe declaró que planea liberar una compostura para este problema. La recomendación de FireEye a sus clientes es que tengan extrema precaución, especialmente cuando se visiten sitios surcoreanos, y eviten abrir documentos sospechosos, especialmente hojas de Excel. Debido a la publicación de la vulnerabilidad antes de la disponibilidad del parche, es probable que criminales y grupos de naciones adicionales intenten explotar la vulnerabilidad en el corto plazo.

SOLUCIONES DE DETECCIÓN DE FIREEYE

FireEye Email Security, Endpoint Security con Guardia de Exploit habilitada, y productos de Seguridad en Red detectarán el documento malicioso de manera natural. Los clientes de Email Security y Network Security que habilitaron el riskware pueden ver alertas adicionales basadas en contenido sospechoso incrustado en documentos maliciosos.

Mayoristas autorizados

Etiquetas
Mostrar más
Florencia Gomez Forti

Florencia Gomez Forti

Comenzó su camino en los medios y el mercado IT de la mano de ITSitio y hoy genera contenidos para toda la región. Realizó coberturas especiales para marcas como HP e IBM.
Close