Hackers norte-coreanos Kimsuky usando nova ferramenta de reconhecimento ReconShark nos últimos ciberataques
5 de Maio de 2023

O ator de ameaças patrocinado pelo estado norte-coreano conhecido como Kimsuky foi descoberto usando uma nova ferramenta de reconhecimento chamada ReconShark como parte de uma campanha global em curso.

"O ReconShark é entregue ativamente a indivíduos específicos por meio de e-mails de spear-phishing, links OneDrive que levam a downloads de documentos e a execução de macros maliciosas", disseram os pesquisadores da SentinelOne, Tom Hegel e Aleksandar Milenkoski.

Kimsuky também é conhecido pelos nomes APT43, ARCHIPELAGO, Black Banshee, Nickel Kimball, Emerald Sleet (anteriormente Thallium) e Velvet Chollima.

Ativo desde pelo menos 2012, o prolífico ator de ameaças foi relacionado a ataques direcionados a organizações não governamentais (ONGs), think tanks, agências diplomáticas, organizações militares, grupos econômicos e entidades de pesquisa em toda a América do Norte, Ásia e Europa.

O mais recente conjunto de invasões documentado pela SentinelOne alavanca temas geopolíticos relacionados à proliferação nuclear da Coreia do Norte para ativar a sequência de infecção.

"Notavelmente, os e-mails de spear-phishing são feitos com um nível de qualidade de design ajustado para indivíduos específicos, aumentando a probabilidade de abertura pelo alvo", disseram os pesquisadores.

"Isso inclui formatação adequada, gramática e pistas visuais, parecendo legítimo para usuários desprevenidos."

Essas mensagens contêm links para documentos do Microsoft Word armadilhados hospedados no OneDrive para implantar o ReconShark, que funciona principalmente como uma ferramenta de reconhecimento para executar instruções enviadas de um servidor controlado pelo ator.

Também é uma evolução do conjunto de ferramentas de malware BabyShark do ator de ameaças.

"Ele exfiltra informações do sistema para o servidor C2, mantém persistência no sistema e aguarda novas instruções do operador", disse a Palo Alto Networks Unit 42 em sua análise do BabyShark em fevereiro de 2019.

O ReconShark é especificamente projetado para exfiltrar detalhes sobre processos em execução, mecanismos de detecção implantados e informações de hardware, sugerindo que os dados coletados pela ferramenta são usados para realizar ataques de "precisão" envolvendo malware adaptado ao ambiente específico como uma forma de evitar a detecção.

O malware também é capaz de implantar payloads adicionais do servidor com base em "quais mecanismos de detecção processam em máquinas infectadas".

As descobertas somam-se a evidências crescentes de que o ator de ameaças está mudando ativamente suas táticas para obter um ponto de apoio em hosts comprometidos, estabelecer persistência e coletar inteligência de maneira furtiva por períodos prolongados de tempo.

"Os ataques contínuos do Kimsuky e seu uso da nova ferramenta de reconhecimento, ReconShark, destacam a natureza evolutiva do cenário de ameaças norte-coreano", disse a SentinelOne.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...