Hackers norte coreanos lançam novo malware
13 de Maio de 2024

O ator de ameaças norte-coreano conhecido como Kimsuky foi observado utilizando um malware inédito baseado em Golang, apelidado de Durian, como parte de ataques cibernéticos altamente direcionados contra duas empresas de criptomoedas sul-coreanas.

"Durian possui funcionalidades completas de backdoor, possibilitando a execução de comandos recebidos, downloads adicionais de arquivos e exfiltração de arquivos," disse a Kaspersky em seu relatório de tendências APT para o primeiro trimestre de 2024.

Os ataques, que ocorreram em agosto e novembro de 2023, envolveram o uso de software legítimo exclusivo da Coreia do Sul como um caminho para a infecção, embora o mecanismo preciso usado para manipular o programa atualmente não esteja claro.

O que se sabe é que o software estabelece uma conexão com o servidor do atacante, levando à recuperação de um payload malicioso que inicia a sequência de infecção.
A primeira etapa serve como um instalador para malware adicional e um meio de estabelecer persistência no hospedeiro.

Também abre caminho para um malware loader que eventualmente executa o Durian.

Durian, por sua vez, é empregado para introduzir mais malwares, incluindo AppleSeed, a escolha de backdoor preferida do Kimsuky, uma ferramenta de proxy personalizada conhecida como LazyLoad, bem como outras ferramentas legítimas como ngrok e Chrome Remote Desktop.

"Ultimamente, o ator implantou o malware para furtar dados armazenados no navegador, incluindo cookies e credenciais de login," disse a Kaspersky.

Um aspecto notável do ataque é o uso do LazyLoad, que já foi utilizado previamente por Andariel, um subgrupo dentro do Grupo Lazarus, levantando a possibilidade de uma colaboração potencial ou uma sobreposição tática entre os dois atores de ameaças.

O grupo Kimsuky é conhecido por estar ativo desde pelo menos 2012, com suas atividades maliciosas de ciberespionagem também monitoradas sob os nomes APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima.

Avalia-se que seja um elemento subordinado ao 63º Research Center, um departamento dentro do Reconnaissance General Bureau (RGB), a principal organização de inteligência militar do reino eremita.

"A principal missão dos atores do Kimsuky é fornecer dados roubados e informações geopolíticas valiosas ao regime norte-coreano, comprometendo analistas de políticas e outros especialistas," disse o Bureau Federal de Investigação (FBI) e a Agência de Segurança Nacional (NSA) dos EUA em um alerta no início deste mês.

Comprometimentos bem-sucedidos permitem ainda que os atores do Kimsuky criem emails de spear-phishing mais críveis e eficazes, que podem, então, ser alavancados contra alvos mais sensíveis e de maior valor.

O adversário de nação-estado também foi vinculado a campanhas que entregam um remote access trojan e ladrão de informações baseado em C# chamado TutorialRAT, que utiliza o Dropbox como "base para seus ataques para evitar a monitoração de ameaças," disse a Broadcom-owned Symantec.

"Esta campanha parece ser uma extensão da campanha de ameaça BabyShark do APT43 e emprega técnicas típicas de spear-phishing, incluindo o uso de arquivos de atalho (LNK)," adicionou.

O desenvolvimento ocorre enquanto o AhnLab Security Intelligence Center (ASEC) detalhou uma campanha orquestrada por outro grupo de hacking patrocinado pelo estado norte-coreano chamado ScarCruft, que está visando usuários sul-coreanos com arquivos de atalho do Windows (LNK) que culminam no deployment do RokRAT.

A coletiva adversária, também conhecida como APT37, InkySquid, RedEyes, Ricochet Chollima e Ruby Sleet, é dita estar alinhada com o Ministério da Segurança do Estado (MSS) da Coreia do Norte e encarregada de coletar inteligência encoberta em apoio aos interesses estratégicos militares, políticos e econômicos da nação.

"Os arquivos de atalho recentemente confirmados (*.LNK) estão encontrados como alvo de usuários sul-coreanos, particularmente aqueles relacionados à Coreia do Norte," disse ASEC.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...