El grupo norcoreano APT (Advanced Persistent Threat) Konni explota una vulnerabilidad WinRAR recientemente revelada para lanzar su primer ataque al sector de las criptomonedas.
Un nuevo vector de ataque
El grupo APT norcoreano Konni ha sido noticia al explotar una vulnerabilidad WinRAR recientemente revelada (CVE-2023-38831) para apuntar a la industria de las criptomonedas, según la empresa de seguridad china Chuangyu 404 Lab. Esta medida representa una desviación de sus objetivos, principalmente en Corea del Sur, y el primer caso en el que un grupo APT aprovecha esta vulnerabilidad particular para un ataque.
En una declaración en Seeburg, el grupo utilizó una carga útil maliciosa disfrazada de una captura de pantalla de una billetera, dirigida específicamente al sector de las criptomonedas. La carga útil se denominó “wallet_Screenshot_2023_09_06_Qbao_Network.zip”, en alusión a Qbao Network, un servicio inteligente de billetera de criptomonedas. Esta desviación de sus objetivos habituales sugiere que Konni puede estar diversificando sus vectores de ataque.
Ideas técnicas y tácticas.
La vulnerabilidad en cuestión, CVE-2023-38831, permite la ejecución de una carga útil maliciosa cuando la víctima hace clic en un archivo HTML especialmente diseñado dentro de un archivo comprimido. Además, la carga útil ejecuta una serie de comandos para determinar la arquitectura del sistema y descarga cargas útiles adicionales desde un servidor remoto.
El malware empleado por Konni era lo suficientemente sofisticado como para detectar la arquitectura del sistema y adaptar sus tácticas en consecuencia. Utilizó diferentes técnicas de omisión del Control de cuentas de usuario (UAC) basadas en las especificaciones del sistema, lo que la convierte en una amenaza altamente adaptable.
Hasta ahora, los ataques de Corea del Norte a la industria de las criptomonedas se atribuían principalmente al Grupo Lazarus. La entrada de Konni en este espacio indica una estrategia más amplia por parte de los piratas informáticos norcoreanos para atacar los intercambios de criptomonedas y las plataformas financieras.
Este desarrollo es particularmente preocupante dados los recientes dent que involucran a otras plataformas de criptomonedas como Stake y CoinEx. El ataque también plantea dudas sobre la preparación de la industria de las criptomonedas para defenderse de amenazas sofisticadas, especialmente aquellas que explotan vulnerabilidades recientemente reveladas.
El ataque de Konni sirve como una llamada de atención tanto para la comunidad de ciberseguridad como para la de criptomonedas. Con la explotación de una nueva vulnerabilidad y un cambio en las industrias objetivo, Konni ha demostrado la naturaleza cambiante de las amenazas APT. Las organizaciones, especialmente aquellas en el sector de las criptomonedas, deben estar atentas y proactivas a la hora de actualizar sus medidas de seguridad para defenderse de estas amenazas avanzadas y en constante cambio.