O grupo de hackers norte-coreano conhecido como Kimsuky foi observado, em ataques recentes, utilizando um RDP Wrapper construído sob medida e ferramentas proxy para acessar diretamente as máquinas infectadas.
Isso é um sinal de mudança de táticas para o Kimsuky, de acordo com o AhnLab Security Intelligence Center (ASEC), que descobriu a campanha.
O ASEC diz que os hackers norte-coreanos agora usam um conjunto diversificado de ferramentas de acesso remoto personalizadas, em vez de depender exclusivamente de backdoors ruidosos como o PebbleDash, que ainda é usado.
A cadeia de infecção mais recente começa com um email de spear-phishing contendo um anexo malicioso de arquivo .LNK disfarçado como um documento PDF ou Word.
Os emails contêm o nome do destinatário e nomes corretos das empresas, sugerindo que o Kimsuky realizou reconhecimento antes do ataque.
Abrir o arquivo .LNK aciona o PowerShell ou Mshta para recuperar payloads adicionais de um servidor externo, incluindo:
- PebbleDash, um backdoor conhecido do Kimsuky que fornece controle inicial do sistema.
- Uma versão modificada da ferramenta open-source RDP Wrapper, permitindo acesso RDP persistente e a burla de medidas de segurança.
- Ferramentas proxy para burlar restrições de rede privada, permitindo que os atacantes acessem o sistema mesmo quando conexões diretas RDP são bloqueadas.
O RDP Wrapper é uma ferramenta open-source legítima projetada para permitir a funcionalidade do Protocolo de Área de Trabalho Remota (RDP) em versões do Windows que não suportam nativamente, como o Windows Home.
Ele atua como uma camada intermediária, permitindo aos usuários habilitar conexões de área de trabalho remota sem modificar arquivos do sistema.
A versão do Kimsuky alterou funções de exportação para burlar a detecção por antivírus e provavelmente diferencia seu comportamento o suficiente para evitar detecção baseada em assinatura.
A principal vantagem de usar um RDP Wrapper personalizado é a evasão de detecção, já que as conexões RDP são frequentemente tratadas como legítimas, permitindo que o Kimsuky permaneça sob o radar por mais tempo.
Além disso, ele fornece um controle remoto baseado em GUI mais confortável, comparado ao acesso via shell por malware, e pode burlar firewalls ou restrições NAT via relays, permitindo acesso RDP de fora.
O ASEC relata que, uma vez que o Kimsuky garanta seu ponto de apoio na rede, eles implantam payloads secundários.
Essas incluem um keylogger que captura pressionamentos de tecla e os armazena em arquivos de texto em diretórios do sistema, um infostealer (forceCopy) que extrai credenciais salvas nos navegadores web, e um ReflectiveLoader baseado em PowerShell que permite a execução de payloads em memória.
No geral, o Kimsuky é uma ameaça persistente e em evolução e um dos grupos de ameaça de ciberespionagem mais prolíficos da Coreia do Norte, dedicado à coleta de inteligência.
As últimas descobertas do ASEC indicam que os atores da ameaça mudam para métodos de acesso remoto mais furtivos para prolongar os períodos de permanência em redes comprometidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...