O grupo de hackers norte-coreano Kimsuky foi observado empregando uma nova versão de seu malware de reconhecimento, agora chamado de 'ReconShark', em uma campanha de ciberespionagem com alcance global.
A Sentinel Labs informa que o ator de ameaça ampliou seu escopo de alvos, agora mirando organizações governamentais, centros de pesquisa, universidades e think tanks nos Estados Unidos, Europa e Ásia.
Em março de 2023, as autoridades sul-coreanas e alemãs alertaram que o Kimsuky, também conhecido como Thallium e Velvet Chollima, começou a espalhar extensões maliciosas do Chrome que visavam contas do Gmail e um spyware para Android que servia como um trojan de acesso remoto.
Anteriormente, em agosto de 2022, a Kaspersky revelou outra campanha do Kimsuky visando políticos, diplomatas, professores universitários e jornalistas na Coreia do Sul, usando um esquema de validação de alvos em várias etapas que garantia que apenas alvos válidos fossem infectados com payloads maliciosos.
O Kimsuky utiliza e-mails de spear-phishing bem elaborados e personalizados para infectar seus alvos com o malware ReconShark, tática vista em todas as campanhas anteriores do grupo de ameaças.
Esses e-mails contêm um link para um documento malicioso protegido por senha hospedado no Microsoft OneDrive para minimizar as chances de levantar alarmes em ferramentas de segurança de e-mail.
Quando o alvo abre o documento baixado e habilita macros conforme instruído, o malware embutido ReconShark é ativado.
Após a Microsoft desativar as macros por padrão em documentos do Office baixados, a maioria dos atores de ameaças mudou para novos tipos de arquivos para ataques de phishing, como arquivos ISO e, mais recentemente, documentos do OneNote.
"Os atacantes provavelmente estão procurando vitórias fáceis contra versões desatualizadas do Office ou simplesmente usuários habilitando macros", disse Tom Hegel, pesquisador sênior de ameaças na Sentinel Labs, ao BleepingComputer.
"O Kimsuky não está sendo muito inovador aqui - especialmente porque eles ainda estão evoluindo a família de malwares BabyShark." O ReconShark é considerado pelos analistas da Sentinel Labs uma evolução do malware 'BabyShark' do Kimsuky, que também foi visto implantado pelo APT43, um grupo de ciberespionagem norte-coreano que visa organizações dos Estados Unidos.
O ReconShark abusa do WMI para coletar informações sobre o sistema infectado, como os processos em execução, dados da bateria, etc.
Ele também verifica se o software de segurança está em execução na máquina, com a Sentinel Labs mencionando verificações específicas para os produtos Kaspersky, Malwarebytes, Trend Micro e Norton Security.
A exfiltração dos dados de reconhecimento é direta, com o malware enviando tudo para o servidor C2 via solicitações HTTP POST sem armazenar nada localmente.
"A capacidade do ReconShark de exfiltrar informações valiosas, como mecanismos de detecção implantados e informações de hardware, indica que o ReconShark é parte de uma operação de reconhecimento orquestrada pelo Kimsuky que permite ataques de precisão subsequentes, possivelmente envolvendo malwares especificamente adaptados para evadir defesas e explorar vulnerabilidades de plataforma", alertou a SentinelOne.
Outra capacidade do ReconShark é buscar payloads adicionais do C2, o que pode dar ao Kimsuky uma melhor posição no sistema infectado.
"Além de exfiltrar informações, o ReconShark implanta payloads adicionais de maneira multiestágio que são implementados como scripts (VBS, HTA e Windows Batch), modelos do Microsoft Office habilitados para macro ou arquivos DLL do Windows", diz o relatório da Sentinel Labs.
"O ReconShark decide quais payloads implantar dependendo dos processos de mecanismo de detecção em execução nas máquinas infectadas." A fase de implantação de payloads envolve a edição de arquivos de atalho do Windows (LNK) associados a aplicativos populares como Chrome, Outlook, Firefox ou Edge para executar o malware quando o usuário lança um desses aplicativos.
Um método alternativo é substituir o modelo padrão do Microsoft Office, Normal.dotm, por uma versão maliciosa hospedada no servidor C2 para carregar código malicioso sempre que o usuário inicia o Microsoft Word.
Ambas as técnicas oferecem uma maneira furtiva de infiltrar mais profundamente no sistema visado, manter a persistência e executar payloads ou comandos adicionais como parte do ataque multiestágio do ator de ameaças.
O nível de sofisticação e táticas de mudança de forma do Kimsuky confundem a linha que separa sua operação de outros grupos norte-coreanos que conduzem campanhas mais amplas, e pedem maior vigilância.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...