Hackers norcoreanos explotan dispositivos Zimbra sin parches en la campaña ‘No Pineapple’

Una nueva campaña de recopilación de inteligencia vinculada al prolífico Lazarus Group, patrocinado por el estado de Corea del Norte, aprovechó fallas de seguridad conocidas en dispositivos Zimbra sin parchear para comprometer los sistemas de las víctimas.

Eso es según la empresa finlandesa de ciberseguridad WithSecure (anteriormente F-Secure), que denominó al incidente No Pineapple en referencia a un mensaje de error que se usa en una de las puertas traseras.

Los objetivos de la operación maliciosa incluyeron una organización de investigación de atención médica en India, el departamento de ingeniería química de una universidad de investigación líder, así como un fabricante de tecnología utilizada en los sectores de energía, investigación, defensa y atención médica, lo que sugiere un intento de romper el suministro. cadena.

Se estima que el equipo de piratería exportó aproximadamente 100 GB de datos luego del compromiso de un cliente anónimo, y es probable que la irrupción digital tenga lugar en el tercer trimestre de 2022.

«El actor de amenazas obtuvo acceso a la red al explotar un servidor de correo Zimbra vulnerable a fines de agosto», dijo WithSecure en un informe técnico detallado compartido con The Hacker News.

Las fallas de seguridad utilizadas para el acceso inicial son CVE-2022-27925 y CVE-2022-37042 , las cuales podrían ser objeto de abuso para obtener la ejecución remota de código en el servidor subyacente.

Este paso fue seguido por la instalación de shells web y la explotación de la vulnerabilidad de escalada de privilegios locales en el servidor Zimbra (es decir, Pwnkit , también conocido como CVE-2021-4034), lo que permitió al actor de amenazas recolectar datos confidenciales del buzón.

Posteriormente, en octubre de 2022, se dice que el adversario realizó movimientos laterales, reconocimiento y, en última instancia, implementó puertas traseras como Dtrack y una versión actualizada de GREASE.

GREASE , que se ha atribuido como obra de otro grupo de amenazas afiliado a Corea del Norte llamado Kimsuky , viene con capacidades para crear nuevas cuentas de administrador con privilegios de protocolo de escritorio remoto (RDP) y al mismo tiempo eludir las reglas del firewall.

Dtrack, por otro lado, se ha empleado en ataques cibernéticos dirigidos a una variedad de verticales de la industria, y también en ataques motivados financieramente que involucran el uso de ransomware Maui .

«A principios de noviembre, se detectaron balizas Cobalt Strike [comando y control] desde un servidor interno a dos direcciones IP de actores de amenazas», señalaron los investigadores Sami Ruohonen y Stephen Robinson, y agregaron que la filtración de datos ocurrió desde el 5 de noviembre de 2022. , hasta el 11 de noviembre de 2022.

En la intrusión también se utilizaron herramientas como Plink y 3Proxy para crear un proxy en el sistema de la víctima, haciéndose eco de los hallazgos anteriores de Cisco Talos sobre los ataques de Lazarus Group dirigidos a los proveedores de energía.

Los grupos de piratas informáticos respaldados por Corea del Norte han tenido un 2022 ocupado, realizando una serie de robos de criptomonedas y de espionaje que se alinean con las prioridades estratégicas del régimen.

Más recientemente, el clúster BlueNoroff, también conocido por los nombres APT38, Copernicium, Stardust Chollima y TA444, se conectó a ataques de recolección de credenciales de gran alcance dirigidos a los sectores educativo, financiero, gubernamental y de atención médica.

Fuente: https://thehackernews.com