O ator de ameaças patrocinado pelo estado norte-coreano conhecido como Kimsuky foi descoberto usando uma nova ferramenta de reconhecimento chamada ReconShark como parte de uma campanha global em curso.
"O ReconShark é entregue ativamente a indivíduos específicos por meio de e-mails de spear-phishing, links OneDrive que levam a downloads de documentos e a execução de macros maliciosas", disseram os pesquisadores da SentinelOne, Tom Hegel e Aleksandar Milenkoski.
Kimsuky também é conhecido pelos nomes APT43, ARCHIPELAGO, Black Banshee, Nickel Kimball, Emerald Sleet (anteriormente Thallium) e Velvet Chollima.
Ativo desde pelo menos 2012, o prolífico ator de ameaças foi relacionado a ataques direcionados a organizações não governamentais (ONGs), think tanks, agências diplomáticas, organizações militares, grupos econômicos e entidades de pesquisa em toda a América do Norte, Ásia e Europa.
O mais recente conjunto de invasões documentado pela SentinelOne alavanca temas geopolíticos relacionados à proliferação nuclear da Coreia do Norte para ativar a sequência de infecção.
"Notavelmente, os e-mails de spear-phishing são feitos com um nível de qualidade de design ajustado para indivíduos específicos, aumentando a probabilidade de abertura pelo alvo", disseram os pesquisadores.
"Isso inclui formatação adequada, gramática e pistas visuais, parecendo legítimo para usuários desprevenidos."
Essas mensagens contêm links para documentos do Microsoft Word armadilhados hospedados no OneDrive para implantar o ReconShark, que funciona principalmente como uma ferramenta de reconhecimento para executar instruções enviadas de um servidor controlado pelo ator.
Também é uma evolução do conjunto de ferramentas de malware BabyShark do ator de ameaças.
"Ele exfiltra informações do sistema para o servidor C2, mantém persistência no sistema e aguarda novas instruções do operador", disse a Palo Alto Networks Unit 42 em sua análise do BabyShark em fevereiro de 2019.
O ReconShark é especificamente projetado para exfiltrar detalhes sobre processos em execução, mecanismos de detecção implantados e informações de hardware, sugerindo que os dados coletados pela ferramenta são usados para realizar ataques de "precisão" envolvendo malware adaptado ao ambiente específico como uma forma de evitar a detecção.
O malware também é capaz de implantar payloads adicionais do servidor com base em "quais mecanismos de detecção processam em máquinas infectadas".
As descobertas somam-se a evidências crescentes de que o ator de ameaças está mudando ativamente suas táticas para obter um ponto de apoio em hosts comprometidos, estabelecer persistência e coletar inteligência de maneira furtiva por períodos prolongados de tempo.
"Os ataques contínuos do Kimsuky e seu uso da nova ferramenta de reconhecimento, ReconShark, destacam a natureza evolutiva do cenário de ameaças norte-coreano", disse a SentinelOne.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...