Hackers norte-coreanos miram Japão
11 de Julho de 2024

O Centro de Coordenação do Computer Emergency Response Team do Japão (JPCERT/CC) está alertando que organizações japonesas estão sendo alvo de ataques pelos atores de ameaça norte-coreanos 'Kimsuky'.

O governo dos EUA atribuiu a Kimsuky como um grupo de ameaça persistente avançada (APT) da Coreia do Norte que realiza ataques contra alvos em todo o mundo para coletar inteligência sobre tópicos de interesse ao governo norte-coreano.

Os atores de ameaça são conhecidos por utilizar engenharia social e phishing para obter acesso inicial às redes.

Em seguida, eles implantam malware personalizado para roubar dados e manter a persistência nas redes.

O Japão informa que ataques da Kimsuky foram detectados no início deste ano, e a atribuição foi baseada em indicadores de comprometimento (IoCs) compartilhados pelo AhnLab Security Intelligence Center (ASEC) em dois relatórios separados (1, 2).

"O JPCERT/CC confirmou atividades de ataque visando organizações japonesas por um grupo de ataque chamado Kimsuky em março de 2024," alerta o JPCERT.

Os atacantes iniciam seus ataques enviando emails de phishing que se passam por organizações de segurança e diplomáticas para alvos no Japão, contendo um anexo em ZIP malicioso.

O ZIP contém um executável que leva à infecção por malware e dois arquivos de documento isca.

O nome do arquivo executável também usa diversos espaços para parecer um documento, escondendo a parte ".exe".

Quando executado pela vítima, o payload baixa e executa um arquivo VBS e também configura 'C:\Users\Public\Pictures\desktop.ini.bak' para iniciar automaticamente via Wscript.

O arquivo VBS baixa um script PowerShell para coletar informações, como listas de processos, detalhes de rede, listas de arquivos de pastas (Downloads, Documentos, Desktop) e informações de conta de usuário.

Essas informações são então enviadas para uma URL remota sob controle dos atacantes.

Essas informações coletadas ajudam a Kimsuky a determinar se o dispositivo infectado é uma máquina de usuário legítimo ou um ambiente de análise.

Finalmente, um novo arquivo VBS é criado e executado para baixar um script PowerShell que registra as teclas digitadas e informações da área de transferência, que são então enviadas aos atacantes.

As informações coletadas pelo keylogger podem incluir credenciais permitindo que os atores de ameaça se espalhem mais para dentro dos sistemas e aplicativos da organização.

Em maio de 2024, ASEC descobriu que Kimsuky estava distribuindo uma cepa de malware CHM na Coreia.

O malware havia sido disseminado anteriormente em vários formatos, incluindo LNK, DOC e OneNote.

O fluxo do ataque envolve a execução de um arquivo de Ajuda Compilada em HTML (CHM) que exibe uma tela de ajuda enquanto simultaneamente executa um script malicioso em segundo plano.

Este script cria e executa um arquivo no caminho do perfil do usuário.

O arquivo então se conecta a uma URL externa para executar scripts maliciosos adicionais codificados em Base64.

Esses scripts são responsáveis por exfiltrar informações do usuário, criar e registrar um script malicioso como um serviço e realizar keylogging.

Comparado às variantes passadas, as amostras de malware mais recentes vistas pelos analistas da ASEC empregam obfuscação mais sofisticada para evadir detecção.

Dada a atividade detectada da Kimsuky no Japão, o CERT do país sublinha a necessidade de as organizações estarem vigilantes contra arquivos CHM que podem conter scripts executáveis projetados para entregar malware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...