O ator de ameaças norte-coreano conhecido como Kimsuky foi observado utilizando um malware inédito baseado em Golang, apelidado de Durian, como parte de ataques cibernéticos altamente direcionados contra duas empresas de criptomoedas sul-coreanas.
"Durian possui funcionalidades completas de backdoor, possibilitando a execução de comandos recebidos, downloads adicionais de arquivos e exfiltração de arquivos," disse a Kaspersky em seu relatório de tendências APT para o primeiro trimestre de 2024.
Os ataques, que ocorreram em agosto e novembro de 2023, envolveram o uso de software legítimo exclusivo da Coreia do Sul como um caminho para a infecção, embora o mecanismo preciso usado para manipular o programa atualmente não esteja claro.
O que se sabe é que o software estabelece uma conexão com o servidor do atacante, levando à recuperação de um payload malicioso que inicia a sequência de infecção.
A primeira etapa serve como um instalador para malware adicional e um meio de estabelecer persistência no hospedeiro.
Também abre caminho para um malware loader que eventualmente executa o Durian.
Durian, por sua vez, é empregado para introduzir mais malwares, incluindo AppleSeed, a escolha de backdoor preferida do Kimsuky, uma ferramenta de proxy personalizada conhecida como LazyLoad, bem como outras ferramentas legítimas como ngrok e Chrome Remote Desktop.
"Ultimamente, o ator implantou o malware para furtar dados armazenados no navegador, incluindo cookies e credenciais de login," disse a Kaspersky.
Um aspecto notável do ataque é o uso do LazyLoad, que já foi utilizado previamente por Andariel, um subgrupo dentro do Grupo Lazarus, levantando a possibilidade de uma colaboração potencial ou uma sobreposição tática entre os dois atores de ameaças.
O grupo Kimsuky é conhecido por estar ativo desde pelo menos 2012, com suas atividades maliciosas de ciberespionagem também monitoradas sob os nomes APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima.
Avalia-se que seja um elemento subordinado ao 63º Research Center, um departamento dentro do Reconnaissance General Bureau (RGB), a principal organização de inteligência militar do reino eremita.
"A principal missão dos atores do Kimsuky é fornecer dados roubados e informações geopolíticas valiosas ao regime norte-coreano, comprometendo analistas de políticas e outros especialistas," disse o Bureau Federal de Investigação (FBI) e a Agência de Segurança Nacional (NSA) dos EUA em um alerta no início deste mês.
Comprometimentos bem-sucedidos permitem ainda que os atores do Kimsuky criem emails de spear-phishing mais críveis e eficazes, que podem, então, ser alavancados contra alvos mais sensíveis e de maior valor.
O adversário de nação-estado também foi vinculado a campanhas que entregam um remote access trojan e ladrão de informações baseado em C# chamado TutorialRAT, que utiliza o Dropbox como "base para seus ataques para evitar a monitoração de ameaças," disse a Broadcom-owned Symantec.
"Esta campanha parece ser uma extensão da campanha de ameaça BabyShark do APT43 e emprega técnicas típicas de spear-phishing, incluindo o uso de arquivos de atalho (LNK)," adicionou.
O desenvolvimento ocorre enquanto o AhnLab Security Intelligence Center (ASEC) detalhou uma campanha orquestrada por outro grupo de hacking patrocinado pelo estado norte-coreano chamado ScarCruft, que está visando usuários sul-coreanos com arquivos de atalho do Windows (LNK) que culminam no deployment do RokRAT.
A coletiva adversária, também conhecida como APT37, InkySquid, RedEyes, Ricochet Chollima e Ruby Sleet, é dita estar alinhada com o Ministério da Segurança do Estado (MSS) da Coreia do Norte e encarregada de coletar inteligência encoberta em apoio aos interesses estratégicos militares, políticos e econômicos da nação.
"Os arquivos de atalho recentemente confirmados (*.LNK) estão encontrados como alvo de usuários sul-coreanos, particularmente aqueles relacionados à Coreia do Norte," disse ASEC.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...