DEEP#GOSU Angriffskampagne-Erkennung: Nordkoreanische APT Kimsuky Steckt Wahrscheinlich Hinter Angriffen mit PowerShell und VBScript Malware
Inhaltsverzeichnis:
Die berüchtigte Cyber-Spionage Nordkoreas Kimsuky APT-Gruppe steht seit mindestens 2012 im Rampenlicht der Cyber-Bedrohungslandschaft. Eine neue mehrstufige, mit Kimsuky verbundene Offensive-Kampagne mit dem Namen DEEP#GOSU macht Schlagzeilen, indem sie Bedrohungen für Windows-Nutzer darstellt und PowerShell- sowie VBScript-Malware einsetzt, um gezielte Systeme zu infizieren.
DEEP#GOSU Angriffskampagne erkennen
Das vergangene Jahr war von einer stark intensivierten Aktivität von APT-Akteuren geprägt, was den direkten Einfluss der bestehenden geopolitischen Spannungen auf den Cyberbereich widerspiegelt. Dieses Mal warnen Cyber-Sicherheitsexperten Organisationen und Einzelanwender vor einer laufenden bösartigen Kampagne der berüchtigten Kimsuky APT, die zunehmend Windows-Nutzer ins Visier nimmt, um im Verlauf der DEEP#GOSU-Operation weitreichenden, unauffälligen Zugang zur Umgebung zu erlangen.
Um proaktiv zu bleiben und mögliche Eindringversuche in den frühesten Entwicklungsstadien zu erkennen, benötigen Cyber-Verteidiger fortschrittliche Bedrohungserkennungslösungen und Jagdmethoden, die mit verhaltensbasierenden Erkennungsalgorithmen ausgestattet sind, die auf die TTPs der Angreifer abzielen. Die SOC Prime Plattform für kollektive Cyberverteidigung bietet eine breite Sammlung von hochmodernen Werkzeugen, um Ihre Bedrohungsermittlung zu verstärken, während sie einen dedizierten Erkennungsstack zusammenstellt, der auf die DEEP#GOSU-Erkennung abzielt.
Drücken Sie die Ermittlungen erkunden Schaltfläche unten, um sofort zu einer Sammlung relevanter Sigma-Regeln, die mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel sind, zu gelangen. Alle Regeln sind in MITRE ATT&CK v14.1 eingebunden und werden mit detaillierter Bedrohungsintelligenz sowie umfangreichen Metadaten begleitet.
Um Sicherheitsexperten zu helfen, den Angriffen der Kimsuky APT voraus zu sein, aggregiert die SOC Prime Plattform eine breitere Auswahl an Regeln, die mit bösartigen Aktivitäten des im Rampenlicht stehenden Bedrohungsakteurs in Verbindung stehen. Suchen Sie einfach im Threat Detection Marketplace nach dem Tag „Kimsuky“ basierend auf der Gruppenidentifikation oder folgen Sie diesem Link.
DEEP#GOSU Malware-Kampagnenanalyse
Das Securonix Threat Research Team hat kürzlich Licht auf die laufende offensive Operation mit dem Namen DEEP#GOSU geworfen, die höchstwahrscheinlich mit der berüchtigten nordkoreanischen Kimsuky Gruppe verbunden ist. Die assoziierten Bedrohungsakteure wurden in mehreren gezielten Kampagnen gegen Südkorea beobachtet, mit starkem Fokus auf Cyber-Spionage-Aktivitäten.
In der neuesten Kampagne nutzen die Angreifer eine neuartige, komplexe skriptbasierte Angriffskette, indem sie mehrere PowerShell- und VBScript-Phasen einsetzen, um Windows-Systeme verdeckt zu infiltrieren und sensible Daten zu sammeln. Die offensiven Fähigkeiten umfassen Datenexfiltration, Tastenanschlag-Protokollierung, Zwischenablagendaten-Überwachung und dynamische Nutzlastausführung. Die Angreifer bleiben durch geplante Aufgaben beständig und setzen sich selbst auslösende PowerShell-Skripte und RAT-Software ein, um die vollständige Fernsteuerung zu erlangen.
Bemerkenswerterweise verlässt sich der Infektionsprozess auf legitime Dienste wie Dropbox oder Google Docs für C2, wodurch die Angreifer ihre bösartigen Operationen innerhalb eines normalen Netzwerkverkehrs verschleiern und einer Erkennung entgehen können. Darüber hinaus erleichtert die Nutzung dieser Cloud-Dienste das Aktualisieren der Malware-Funktionalität oder die Bereitstellung zusätzlicher Module.
Die Infektionskette wird durch das Öffnen eines präparierten E-Mail-Anhangs mit einem ZIP-Archiv ausgelöst. Letzteres enthält eine täuschende Verknüpfungsdatei, die als PDF-Datei getarnt ist. Die bösartige LNK-Datei ist mit einem PowerShell-Skript neben einem Täuschungs-PDF-Dokument eingebettet. Das Skript kommuniziert mit einer von Angreifern kontrollierten Dropbox-Infrastruktur, um ein weiteres PowerShell-Skript herunterzuladen und auszuführen.
Das nachfolgende PowerShell-Skript ruft eine weitere Datei von Dropbox ab. Letztere ist eine in binärer Form vorliegende .NET-Assembly, die als Open-Source RAT namens TruRat (auch bekannt als TutRat oder C# R.A.T.) bekannt ist. Neben dieser Malware ruft das PowerShell-Skript auch eine schädliche VBScript-Datei ab, die dazu dient, Befehle auf dem kompromittierten System auszuführen und geplante Aufgaben zur Beständigkeit einzurichten.
Darüber hinaus missbraucht das in dieser Malware-Kampagne eingesetzte VBScript Google Docs, um Konfigurationsdaten für die Dropbox-Verbindung dynamisch abzurufen. Dies ermöglicht es den Angreifern, die Kontoinformationen zu ändern, ohne das Skript direkt zu verändern. Das heruntergeladene PowerShell-Skript kann umfassende Systeminformationen sammeln und diese Daten über eine POST-Anfrage an Dropbox zur Exfiltration senden. Es fungiert als Backdoor und gewährt die Kontrolle über die kompromittierten Hosts, während kontinuierlich die Benutzeraktivität protokolliert wird.
Um die Risiken und Auswirkungen der in der raffinierten DEEP#GOSU-Kampagne eingesetzten heimlichen Malware zu minimieren und ähnliche Bedrohungen effektiv zu verhindern, wird den Verteidigern empfohlen, die besten Sicherheitspraktiken anzuwenden, wie das Vermeiden des Herunterladens von Dateien oder Anhängen aus externen Quellen, die kontinuierliche Überwachung der Umgebung auf verdächtige Aktivitäten und die Verbesserung der Erkennungsabdeckung.
Mit dem erheblichen Anstieg raffinierter Angriffe der Kimsuky APT, die eine potenzielle Bedrohung für Organisationen in verschiedenen Branchen, einschließlich Regierungsstellen, darstellen, suchen Verteidiger nach Möglichkeiten, präventive Cyber-Sicherheitsstrategien zu implementieren, um gezielte APT-Eindringversuche rechtzeitig abzuwehren. Durch den Einsatz von SOC Prime’s Attack Detective, können Sicherheitsingenieure die Cyber-Sicherheitsstrategie der Organisation verbessern, indem sie rechtzeitig blinde Flecken in der Cyber-Verteidigung identifizieren, die richtigen Daten zur Schließung dieser Lücken sammeln und den SIEM-ROI optimieren, während sie Erkennungsverfahren priorisieren, bevor die Angreifer zuschlagen können.
