Detección de la Puerta Trasera Gold Dragon: Los Hackers de Kimsuky Atacan de Nuevo Usando el Malware Gold Dragon
Tabla de contenidos:
La campaña de hacking más reciente del APT norcoreano Kimsuky se lanzó a finales de enero de 2022 y aún está en curso. Esta vez, los hackers de Kimsuky están armados con herramientas de acceso remoto de código abierto (RATs) instaladas con el malware personalizado Gold Dragon.
Detectar el backdoor Gold Dragon
Para identificar que su sistema fue comprometido con el malware Gold Dragon, use las siguientes reglas proporcionadas por nuestros desarrolladores expertos de Threat Bounty. Furkan Celik and Osman Demir:
Detección de Quasar Gold Dragon (Febrero) (vía evento de registro)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR, y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, y Open Distro.
La regla está alineada con la última versión del marco MITRE ATT&CK® v.10, abordando la táctica de Persistencia con Ejecución de Autostart al inicio o al iniciar sesión como técnica principal (T1547).
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR, y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, AWS OpenSearch, Securonix, y Open Distro.
La regla está alineada con la última versión del marco MITRE ATT&CK® v.10, abordando las tácticas de Ejecución y Evasión de Defensa con Intérprete de Comandos y Scripts (T1059), Ejecución de Binarismo Firmado de Proxy (T1218) como técnicas principales.
La lista completa de detecciones asociadas con el APT Kimsuky en el repositorio del Mercado de Detección de Amenazas de la plataforma de SOC Prime está disponible aquí.
SOC Prime insta a los profesionales de la seguridad a unirse contra ciberataques respaldados por Rusia que acompañan a la agresión militar contra Ucrania. El módulo Quick Hunt de SOC Prime permite navegar de manera eficiente a través de una amplia colección de contenido de caza de amenazas asociado con la agresión rusa con las siguientes etiquetas #stopwar, #stoprussian, y #stoprussianagression. Las consultas de caza de amenazas dedicadas están disponibles GRATIS a través del enlace a continuación, lo que permite a los equipos buscar amenazas relevantes al instante:
Colección completa de contenido de caza para detectar amenazas originadas en Rusia
¿Deseas conectarte con los líderes de la industria y desarrollar tu propio contenido? Únete a la iniciativa colaborativa de SOC Prime como contribuyente de contenido y comparte tus propias reglas Sigma y YARA con la comunidad global de ciberseguridad mientras fortaleces la defensa cibernética colaborativa a nivel mundial.
Ver detecciones Únete al Threat Bounty
Ataques del APT Kimsuky
Kimsuky, también conocido como TA406, es un grupo APT vinculado a Corea del Norte, activo desde 2013. La campaña más reciente que comenzó a fines de enero se caracteriza por hackers que usan RATs de uso común en ataques dirigidos contra organizaciones surcoreanas. Utilizar RATs de uso común permite a los actores de amenazas concentrar sus esfuerzos en generar malware de etapas posteriores que requiere funcionalidades más específicas basadas en las herramientas y procedimientos de protección disponibles en la máquina infectada. En los ataques más recientes, los hackers distribuyeron un archivo adicional (“UnInstall_kr5829.co.in.exe”) con xRAT para borrar sus huellas en el sistema comprometido.
Según los investigadores de ASEC, Kimsuky usó una variante de su backdoor personalizado Gold Dragon. Es un backdoor de segunda etapa instalado a través del instalador exclusivo (“installer_sk5621.com.co.exe”). El instalador luego crea una nueva entrada en el registro para asegurar la persistencia de la carga útil del malware (“glu32.dll”). El análisis del backdoor Gold Dragon muestra que los hackers lo utilizan para descargar una herramienta xRAT para robar manualmente los datos de la máquina infectada.
¡Tiempos drásticos requieren medidas drásticas! Únete a la plataforma Detection as Code de SOC Prime para mejorar tus capacidades de detección de amenazas con el poder de una comunidad global de expertos en ciberseguridad. También puedes enriquecer la experiencia colaborativa contribuyendo a la iniciativa de crowdsourcing de SOC Prime. Escribe y envía tus reglas Sigma y YARA, publícalas en la plataforma y recibe recompensas recurrentes por tu aporte.
