O ator de ameaça ligado à Coréia do Norte conhecido como Kimsuky (também conhecido como Black Banshee, Emerald Sleet ou Springtail) tem mudado suas táticas, utilizando arquivos de Ajuda Compilada em HTML (CHM) como vetores para entregar malwares para colher dados sensíveis.
Kimsuky, ativo pelo menos desde 2012, é conhecido por atacar entidades localizadas na Coréia do Sul, América do Norte, Ásia e Europa.
De acordo com a Rapid7, as cadeias de ataque utilizaram documentos do Microsoft Office armados, arquivos ISO e atalhos do Windows (arquivos LNK), com o grupo também utilizando arquivos CHM para implementar malwares em hosts comprometidos.
A empresa de cibersegurança atribuiu a atividade ao Kimsuky com confiança moderada, citando artesanatos semelhantes observados no passado.
"Embora originalmente projetados para documentação de ajuda, os arquivos CHM também foram explorados para fins maliciosos, como a distribuição de malware, pois podem executar JavaScript quando abertos", disse a empresa.
O arquivo CHM é propagado dentro de um arquivo ISO, VHD, ZIP ou RAR, cuja abertura executa um VBScript para configuração persistente e acesso a um servidor remoto para obter um payload de próxima fase responsável pela coleta e exfiltração de dados sensíveis.
A Rapid7 descreveu os ataques como contínuos e em evolução, atacando organizações baseadas na Coreia do Sul.
Ele também identificou uma sequência de infecção alternativa que usa um arquivo CHM como ponto de partida para descartar arquivos em batch encarregados de colher as informações e um script PowerShell para se conectar ao servidor C2 e transferir os dados.
"O modus operandi e a reutilização de código e ferramentas mostram que o ator de ameaça está ativamente usando e refinando/moldando suas técnicas e táticas para coletar informações das vítimas", disse ele.
O desenvolvimento ocorre quando a Broadcom, proprietária da Symantec, revelou que os atores do Kimsuky estão distribuindo malwares se passando por um aplicativo de uma entidade pública legítima coreana.
"Uma vez comprometido, o dropper instala um malware de backdoor Endoor", disse a Symantec.
"Esta ameaça permite aos atacantes coletar informações sensíveis da vítima ou instalar malwares adicionais."
Vale ressaltar que o Endoor baseado em Golang, juntamente com o Troll Stealer (também conhecido como TrollAgent), tem sido recentemente implantado em conexão com ataques cibernéticos que visam usuários que baixam programas de segurança do site de uma associação relacionada à construção coreana.
As descobertas também chegam em meio a uma investigação iniciada pela ONU em 58 suspeitos de ataques cibernéticos realizados por atores do estado norte-coreano entre 2017 e 2023, que renderam US$ 3 bilhões em receitas ilegais para ajudar a desenvolver seu programa de armas nucleares.
"O alto volume de ataques cibernéticos por grupos de hackers subordinados ao Reconnaissance General Bureau continuou", disse o relatório.
"As tendências incluem o ataque a empresas de defesa e cadeias de suprimentos e compartilhamento cada vez maior de infraestrutura e ferramentas."
O Reconnaissance General Bureau (RGB) é o principal serviço de inteligência estrangeira da Coréia do Norte, compreendendo os grupos de ameaças amplamente rastreados como Lazarus Group e seus elementos subordinados, Andariel e BlueNoroff, e Kimsuky.
"Kimsuky mostrou interesse em usar inteligência artificial gerativa, incluindo modelos de linguagem grande, potencialmente para codificação ou escrita de e-mails de phishing", acrescentou ainda o relatório.
"Kimsuky tem sido observado usando o ChatGPT."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...