Erkennung der neuen Kimsuky-APT-Kampagne: Nordkoreanische Hacker nutzen Microsoft kompilierte HTML-Hilfedateien in laufenden Cyberangriffen

Hart auf den Fersen der DEEP#GOSU-Offensivkampagne die mit dem nordkoreanischen Hacker-Kollektiv Kimsuky APT in Verbindung gebracht wird, rückt die Gruppe erneut ins Rampenlicht, indem sie ihre gegnerischen TTPs verschiebt. Verteidiger haben kürzlich beobachtet, wie Kimsuky Microsoft Compiled HTML Help (CHM) Dateien nutzt, um Malware zu verbreiten und sensible Daten von betroffenen Instanzen zu sammeln.

Erkenne die neuesten Angriffe der Kimsuky APT

In den letzten Monaten stand die KIimsuky APT aufgrund der zunehmenden Reichweite und Raffinesse ihrer Kampagnen kontinuierlich im Rampenlicht. Kimsuky stellt eine erhebliche Bedrohung für Cyber-Verteidiger weltweit dar, indem die Gruppe kontinuierlich ihre TTPs anpasst, um bösartige Ziele zu erreichen und dabei unter dem Radar zu bleiben. 

Um über mögliche Kimsuky-Angriffe auf dem Laufenden zu bleiben, benötigen Cybersecurity-Experten eine zuverlässige Quelle für Erkennungsinhalte gepaart mit einem Next-Gen-Toolkit zur Rationalisierung der Sicherheitsoperationen. Die SOC Prime Plattform für kollektive Cyberverteidigung bietet kuratierte Sigma-Regeln, die sich auf die jüngste bösartige Kampagne der Kimsuky APT konzentrieren, unterstützt durch fortschrittliche Bedrohungsjagd- und Erkennungslösungen. 

Einfach klicken Erkennung entdecken und greife auf den umfangreichen Erkennungsstack zu, der für die Identifizierung der neuesten TTPs von Kimsuky entwickelt wurde. Alle Erkennungen sind mit dem MITRE ATT&CK®-Framework v14.1 ausgerichtet und mit umsetzbaren Metadaten und kuratiertem Bedrohungswissen angereichert. 

Erkennung entdecken

Um Verteidiger in die Lage zu versetzen, Kimsuky APT-Angriffe proaktiv zu vereiteln, aggregiert die SOC Prime Plattform eine breitere Auswahl an Erkennungsalgorithmen, die relevante gegnerische Aktivitäten abdecken. Einfach im Threat Detection Marketplace nach dem ‚Kimsuky‘ Tag basierend auf der Gruppenkennung suchen oder diesen Link.

Kimsuky Aktivitätsübersicht: Was steckt hinter der neuesten Kampagne

Rapid7-Forscher haben kürzlich neuartige Aktivitäten beobachtet die der berüchtigten nordkoreanischen Kimsuky-Bandezugeschrieben werden. Das Hacker-Kollektiv, das seit über einem Jahrzehnt im Rampenlicht der Cyber-Bedrohungslandschaft steht, war hauptsächlich darauf fokussiert, Informationen zu sammeln, wobei südkoreanische staatliche Stellen zu seinen Hauptzielen gehören, zusammen mit Organisationen in Nordamerika, Asien und Europa. Forscher haben ein aktualisiertes Spielbuch aufgedeckt, das Kimsukys Bemühungen hervorhebt, der Erkennung zu entgehen, was auf eine signifikante Veränderung und Weiterentwicklung der TTPs der Gruppe hinweist.

Kimsuky hat mit verschiedenen Angreifertechniken experimentiert und sein gegnerisches Toolkit kontinuierlich angepasst. Zunächst nutzte die Bande Office-Dokumente und ISO-Dateien als Waffen, während die Gegner im letzten Jahr begannen, Verknüpfungsdateien auszunutzen. Zum Beispiel wandte Kimsuky in der jüngsten Kampagne mit dem Codenamen DEEP#GOSU, schädliche LNK-Dateien an, die mit PowerShell-Skripten eingebettet waren und eine Infektionskette auslösten. In der neuesten bösartigen Kampagne setzen nordkoreanische Hacker Compiled HTML Help (CHM) Dateien ein, um Malware zu platzieren und intelligente Daten von den kompromittierten Hosts zu sammeln. 

Laut der Forschung nutzen Kimsuky-Akteure CHM-Dateien, die über ISO-, VHD-, ZIP- oder RAR-Archive verteilt werden, um Bedrohungsakteuren zu ermöglichen, die Erkennung zu umgehen. Beim Extrahieren und Öffnen einer der oben genannten Dateien wird ein VBScript ausgelöst, das Persistenz herstellt und eine Verbindung zu einem entfernten Server aufbaut, um eine nachfolgende Nutzlast abzurufen, die in der Lage ist, sensible Daten zu sammeln und zu übertragen. Obwohl ursprünglich für Hilfedokumentationen gedacht, wurden CHM-Dateien aufgrund ihrer Fähigkeit, JavaScript beim Öffnen auszuführen, zunehmend von Angreifern als Waffen eingesetzt. 

Kimsukys laufende Angriffe, die in der jüngsten Kampagne beobachtet wurden, richten sich hauptsächlich gegen Organisationen in Südkorea. Forscher enthüllten auch eine alternative Infektionskette, die mit einer CHM-Datei beginnt, die Stapeldateien ablegt, die fähig sind, Informationen zu sammeln, sowie ein PowerShell-Skript, um eine Verbindung zum C2-Server herzustellen und den Datentransfer zu erleichtern.

Das zunehmende Volumen an ausgeklügelten Angriffen im Zusammenhang mit der Kimsuky Cybercrime-Bande und die kontinuierliche Weiterentwicklung der gegnerischen Techniken der Gruppe ermutigt Verteidiger, die Cyber-Resilienz zu stärken und proaktive Maßnahmen zu ergreifen, um das Risiko von Intrusionen zu minimieren. Mit Hilfe von SOC Primes Attack Detective, können zukunftsorientierte Organisationen rechtzeitig Blindstellen der Cyberverteidigung erkennen, diese effektiv adressieren und Erkennungs- sowie Jagdverfahren priorisieren, um Angriffe, die sie am meisten erwarten, vorzubeugen.