Atores de estados-nação afiliados à Coreia do Norte foram observados usando ataques de spear-phishing para entregar uma variedade de backdoors e ferramentas, como AppleSeed, Meterpreter e TinyNuke, para assumir o controle de máquinas comprometidas.
A empresa de segurança cibernética com sede na Coreia do Sul, AhnLab, atribuiu a atividade a um grupo de ameaça persistente avançado conhecido como Kimsuky.
"Um ponto notável sobre os ataques que utilizam AppleSeed é que métodos semelhantes de ataque têm sido utilizados por muitos anos sem alterações significativas no malware que são usados em conjunto", disse o Centro de Resposta a Emergências de Segurança AhnLab (ASEC) em uma análise publicada na quinta-feira.
Kimsuky, ativo há mais de uma década, é conhecido por sua segmentação de uma ampla gama de entidades na Coreia do Sul, antes de expandir seu foco para incluir outras geografias em 2017.
Foi sancionado pelo governo dos EUA no mês passado por acumular inteligência para apoiar os objetivos estratégicos da Coreia do Norte.
As campanhas de espionagem do ator de ameaças são realizadas através de ataques de spear-phishing contendo documentos de isca maliciosos que, ao abrir, culminam no deploy de várias famílias de malware.
Um proeminente backdoor baseado em Windows usado pelo Kimsuky é o AppleSeed (também conhecido como JamBog), um malware DLL que tem sido usado desde maio de 2019 e foi atualizado com uma versão Android, bem como uma nova variante escrita em Golang chamada AlphaSeed.
AppleSeed é projetado para receber instruções de um servidor controlado pelo ator, deixar cargas úteis adicionais e exfiltrar dados sensíveis, como arquivos, teclas digitadas e capturas de tela.
AlphaSeed, como AppleSeed, incorpora características semelhantes, mas tem algumas diferenças cruciais também.
"AlphaSeed foi desenvolvido em Golang e usa chromedp para comunicações com o servidor [command-and-control]", disse ASEC, em contraste com o AppleSeed, que depende dos protocolos HTTP ou SMTP.
Chromedp é uma popular biblioteca Golang para interagir com o navegador Google Chrome no modo headless por meio do Protocol DevTools.
Há evidências que sugerem que o Kimsuky usou AlphaSeed em ataques desde outubro de 2022, com algumas intrusões entregando tanto AppleSeed quanto AlphaSeed no mesmo sistema de destino por meio de um JavaScript dropper.
Também usados pelo adversário estão malwares Meterpreter e VNC como TightVNC e TinyNuke (também conhecido como Nuclear Bot), que podem ser usados para assumir o controle do sistema afetado.
O desenvolvimento ocorre quando a Nisos disse que descobriu uma série de personas online no LinkedIn e GitHub provavelmente usadas pelos trabalhadores de tecnologia da informação (TI) da Coreia do Norte para obter fraudulentamente emprego remoto de empresas dos EUA e atuar como uma fonte de renda para o regime e ajudar a financiar suas prioridades econômicas e de segurança.
"As pessoas frequentemente afirmam ser proficientes no desenvolvimento de vários tipos diferentes de aplicativos e ter experiência no trabalho com transações cripto e blockchain", disse a empresa de inteligência de ameaças em um relatório divulgado no início deste mês.
"Além disso, todas as personas buscaram posições remotas apenas no setor de tecnologia e estavam focadas em obter um novo emprego.
Muitas das contas estão ativas apenas por um curto período antes de serem desativadas."
Atores norte-coreanos, nos últimos anos, lançaram uma série de assaltos multifacetados, misturando táticas inovadoras e vulnerabilidades da cadeia de suprimentos para mirar empresas de blockchain e criptomoedas para facilitar o roubo de propriedade intelectual e ativos virtuais.
A natureza prolífica e agressiva dos ataques aponta para as diferentes maneiras pelas quais o país tem recorrido para fugir das sanções internacionais e lucrar ilegalmente com os esquemas.
"As pessoas tendem a pensar...
como a chamada 'Reino Eremita' poderia ser um jogador sério de uma perspectiva cibernética?", Adam Meyers da CrowdStrike foi citado dizendo ao Politico.
"Mas a realidade não poderia estar mais longe da verdade."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...