O agente de ameaças norte-coreano conhecido como Kimsuky foi observado visando institutos de pesquisa na Coreia do Sul como parte de uma campanha de spear-phishing com o objetivo final de distribuir backdoors em sistemas comprometidos.
"O agente de ameaças usa finalmente um backdoor para roubar informações e executar comandos", disse o Centro de Resposta a Emergências de Segurança AhnLab (ASEC) em uma análise postada na semana passada.
As cadeias de ataque começam com uma isca de declaração de importação que é na verdade um arquivo JSE malicioso contendo um script PowerShell ofuscado, um payload codificado em Base64 e um documento PDF isca.
A próxima etapa envolve a abertura do arquivo PDF como uma tática diversionista, enquanto o script PowerShell é executado em segundo plano para lançar o backdoor.
O malware, por sua vez, é configurado para coletar informações de rede e outros dados relevantes (ou seja, nome da máquina, nome do usuário e versão do sistema operacional) e transmitir os detalhes codificados para um servidor remoto.
Também é capaz de executar comandos, executar payloads adicionais e se autoterminar, transformando-se em um backdoor para acesso remoto ao host infectado.
Kimsuky, ativo desde pelo menos 2012, começou visando entidades governamentais sul-coreanas, think tanks e indivíduos identificados como especialistas em vários campos, antes de expandir sua presença de vítimas para incluir Europa, Rússia e EUA.
No início deste mês, o Departamento do Tesouro dos EUA sancionou Kimsuky por coletar inteligência para apoiar os objetivos estratégicos da Coreia do Norte, incluindo eventos geopolíticos, política externa e esforços diplomáticos.
"Kimsuky concentrou suas atividades de coleta de inteligência em política externa e questões de segurança nacional relacionadas à península coreana, política nuclear e sanções", observou a empresa de cibersegurança ThreatMon em um relatório recente.
O grupo patrocinado pelo estado também foi observado aproveitando URLs adulteradas que, quando clicadas, baixam um arquivo ZIP falso se passando por uma atualização para o navegador Chrome para implantar um VBScript malicioso do Google Drive que utiliza o armazenamento em nuvem como um conduto para exfiltração de dados e comando e controle (C2).
O desenvolvimento surge como a companhia de segurança de blockchain SlowMist implicou o notório outfit apoiado pela Coreia do Norte chamado Lazarus Group em uma campanha de phishing generalizada no Telegram visando o setor de criptomoedas.
"Mais recentemente, esses hackers aumentaram suas táticas se passando por instituições de investimento respeitáveis para executar golpes de phishing contra várias equipes de projetos de criptomoedas", disse a empresa baseada em Cingapura.
Depois de estabelecer um bom relacionamento, a vítima é enganada para baixar um script malicioso sob o pretexto de compartilhar um link de reunião online que facilita o roubo de criptografia.
Também segue um relatório da Agência de Polícia Metropolitana de Seoul (SMPA) que acusou o sub-cluster Lazarus Andariel de roubar informações técnicas sobre sistemas de armas antiaéreo de empresas de defesa domésticas e lavar os lucros de ransomware de volta para a Coreia do Norte.
Estima-se que mais de 250 arquivos no valor de 1,2 terabytes tenham sido roubados nos ataques.
Para encobrir os rastros, diz-se que o adversário utilizou servidores de uma empresa local que "aluga servidores para assinantes com identidades incertas" como ponto de entrada.
Além disso, o grupo extorquiu 470 milhões de won (US$356.000) em bitcoin de três empresas sul-coreanas em ataques de ransomware e lavou-os através de bolsas de ativos virtuais como Bithumb e Binance.
Vale ressaltar que Andariel tem ligação com a implantação do ransomware Maui no passado.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...