Erkennung der Kimsuky-APT-Kampagne, die sich gegen japanische Organisationen richtet

Seit dem frühen Frühjahr 2024 hat das berüchtigte, mit Nordkorea verbundene Hacker-Kollektiv mit dem Namen Kimsuky APT eine gezielte Kampagne gegen südkoreanische akademische Einrichtungengestartet. Verteidiger haben auch die offensiven Operationen der Gruppe aufgedeckt, die gezielt japanische Organisationen angreifen. Die laufende Angriffskampagne beruht auf einem Phishing-Angriffspfad, bei dem Hacker gezielte E-Mails nutzen, die einen Absender als Sicherheits- oder diplomatische Agentur verkleiden.

Kimsuky-Angriffe auf Japan erkennen

Die nordkoreanische Kimsuky APT-Gruppe intensiviert das Volumen und die Raffinesse ihrer Angriffe, insbesondere in Ostasien. Kimsukys jüngste Kampagne, noch in der Malicious Toolset-Verbesserung, nutzte die TRANSLATEXT Chrome-Erweiterung für Datendiebstahl und führte ein neues Linux-Backdoor namens Gomir ein, um Organisationen in Südkorea und benachbarten Ländern anzugreifen.

Kürzlich entdeckten Sicherheitsforscher eine weitere Kimsuky-Kampagne, die aktiv auf Japan abzielt, indem eine komplexe Infektionskette verwendet wird, um Netzwerke von Interesse zu infiltrieren. Um über verbundene Angriffe informiert zu bleiben, bietet die SOC Prime Plattform für kollektive Cyberabwehr eine Reihe kuratierter Erkennungen, die TTPs ansprechen, die von Gegnern in dieser Kampagne verwendet werden.

Drücken Sie einfach den Erkennungen durchsuchen Knopf unten und erkunden Sie sofort einen dedizierten Sigma-Regelsatz. Alle Regeln sind mit über 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel und in das MITRE ATT&CK®-Rahmenwerk integriert. Zusätzlich sind Erkennungen mit umfangreichen Metadaten angereichert, einschließlich Bedrohungsinformationen, Angriffstimeline und Triagem-empfehlungen, um die Bedrohungsanalyse zu erleichtern.

Erkennungen durchsuchen

Sicherheitsprofis, die Kimsukys TTPs im Detail analysieren möchten, können zusätzlichen Erkennungsinhalt finden, indem sie auf dem Threat Detection Marketplace nach dem „Kimsuky“-Tag suchen oder diesen Link folgen, um auf alle mit dem Hacker-Kollektiv verbundenen Regeln zuzugreifen.

Kimsuky greift japanische Organisationen an: Eine Kampagnenanalyse

Im März 2024 deckte JPCERT/CC neuartige bösartige Aktivitäten der berüchtigten, mit Nordkorea verbundenen Kimsuky APT-Bande auf, die japanische Organisationen zu ihren Hauptzielen zählt. Zusätzlich zur offensiven Kampagne gegen den südkoreanischen akademischen Sektorhaben Kimsuky-Hacker Organisationen in Japan mit EXE- und DOCX-Dateien angegriffen, die über einen Phishing-Angriffspfad gesendet wurden, um sensible Daten von kompromittierten Geräten zu stehlen.

Der Infektionsfluss wird durch eine Spear-Phishing-E-Mail ausgelöst, die eine Sicherheits- und diplomatische Organisation imitiert. Die E-Mail enthält ein Archiv mit präparierten Dateien mit doppelten Dateierweiterungen, zusammen mit einer großen Anzahl von Leerzeichen im Dateinamen, um die Erweiterung zu verbergen. Nach der Ausführung führt die Haupt-EXE-Datei zum Herunterladen einer VBS-Datei von einer externen Quelle, die dann mit wscript.exe ausgeführt wird. Die VBS-Datei lädt wiederum ein PowerShell-Skript von einer externen Quelle herunter und ruft die Funktion PokDoc auf. Die gleiche bösartige VBS-Datei stellt die Persistenz sicher, indem sie den Registry-Run-Schlüssel so setzt, dass die versteckte Datei bei jedem Systemstart automatisch ausgeführt wird.

Das von der VBS-Datei heruntergeladene PowerShell dient als Keylogger und soll Daten von den angegriffenen Geräten stehlen, einschließlich System- und Netzwerkdetails, der Liste von Dateien in bestimmten Benutzerordnern und Benutzerdaten. Die Gegner senden die gestohlenen Daten an eine vordefinierte URL, um zu überprüfen, ob die Ausführungsumgebung eine Sandbox oder ein Analysesystem ist. Darüber hinaus erstellt das Skript eine weitere VBS-Datei in einem öffentlichen Verzeichnis. Nach der Ausführung lädt es zusätzlichen PowerShell-Code herunter und ruft eine InfoKey-Funktion mit einem bestimmten Parameter auf, um die Erkennung zu umgehen und den Angreifern eine versteckte Persistenz zu erleichtern.

Da Kimsuky kontinuierlich neue Angriffsmechanismen entwickelt, um Sicherheitsmaßnahmen zu umgehen und unter dem Radar zu bleiben, während die Komplexität seiner Angriffe zunimmt, ist es für Organisationen entscheidend, die Cyber-Wachsamkeit zu steigern. Das vollständige Produktpaket von SOC Prime für KI-gestützte Erkennungstechnik, automatisierte Bedrohungserkennung und Validierung der Erkennungsstapel rüstet Sicherheitsteams mit fortschrittlichen Lösungen zur proaktiven Cyber-Abwehr aus, um die Risiken der für die Organisation herausforderndsten aufkommenden Bedrohungen zu minimieren.