Um ator de ameaças patrocinado por um Estado-Nação, com laços com a Coreia do Norte, tem sido associado a uma campanha contínua direcionada a negócios, governo e setores de criptomoedas da Coreia do Sul.
A campanha de ataque, apelidada de DEEP#DRIVE pela Securonix, foi atribuída a um grupo de hackers conhecido como Kimsuky, que também é monitorado sob os nomes APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 e Velvet Chollima.
"Utilizando iscas de phishing personalizadas escritas em coreano e disfarçadas como documentos legítimos, os atacantes conseguiram infiltrar-se nos ambientes alvo", disseram os pesquisadores de segurança Den Iuzvyk e Tim Peck em um relatório compartilhado.
Os documentos isca, enviados via e-mails de phishing como arquivos .HWP, .XLSX e .PPTX, são disfarçados como registros de trabalho, documentos de seguro e arquivos relacionados a cripto, a fim de enganar os destinatários para que os abram, desencadeando assim o processo de infecção.
A cadeia de ataque é notável por sua forte dependência de scripts PowerShell em várias fases, incluindo entrega de payload, reconhecimento e execução.
Também é caracterizada pelo uso do Dropbox para distribuição de payload e exfiltração de dados.
Tudo começa com um arquivo ZIP contendo um único arquivo de atalho do Windows (.LNK) que se passa por um documento legítimo, o qual, ao ser extraído e lançado, aciona a execução de código PowerShell para recuperar e exibir um documento isca hospedado no Dropbox, enquanto estabelece furtivamente a persistência no host Windows por meio de uma tarefa agendada denominada "ChromeUpdateTaskMachine".
Um desses documentos isca, escrito em coreano, refere-se a um plano de trabalho de segurança para operações de empilhadeira em uma instalação logística, aprofundando-se no manuseio seguro de cargas pesadas e delineando maneiras de garantir a conformidade com os padrões de segurança no trabalho.
O script PowerShell também é projetado para contatar o mesmo local do Dropbox para buscar outro script PowerShell que é responsável por coletar e exfiltrar informações do sistema.
Além disso, ele solta um terceiro script PowerShell que é, em última análise, responsável por executar um assembly .NET desconhecido.
"O uso da autenticação baseada em token OAuth para interações da API do Dropbox permitiu a exfiltração perfeita de dados de reconhecimento, como informações do sistema e processos ativos, para pastas predeterminadas", disseram os pesquisadores.
Esta infraestrutura baseada na nuvem demonstra um método eficaz e ainda assim furtivo de hospedar e recuperar payloads, contornando listas de bloqueio de IP ou domínio tradicionais.
Além disso, a infraestrutura parecia dinâmica e de curta duração, como evidenciado pela rápida remoção de links-chave após as fases iniciais do ataque, uma tática que não só complica a análise, mas também sugere que os atacantes monitoram ativamente suas campanhas para segurança operacional.
A Securonix disse que conseguiu aproveitar os tokens OAuth para obter mais insights sobre a infraestrutura do ator de ameaça, encontrando evidências de que a campanha pode estar em andamento desde setembro do ano passado.
"Apesar da falta da etapa final, a análise destaca as técnicas sofisticadas empregadas, incluindo ofuscação, execução furtiva e processamento de arquivos dinâmicos, que demonstram a intenção do atacante de evitar detecção e complicar a resposta a incidentes", concluíram os pesquisadores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...