Detección de Campaña APT de Kimsuky Dirigida a Organizaciones Japonesas
Tabla de contenidos:
Desde principios de la primavera de 2024, el notorio colectivo de hackers vinculado a Corea del Norte rastreado como Kimsuky APT ha estado lanzando una campaña dirigida contra instituciones académicas de Corea del Sur. Los defensores también han revelado las operaciones ofensivas del grupo, que apuntan activamente a organizaciones japonesas. La campaña adversaria en curso se basa en un vector de ataque de phishing, con piratas informáticos utilizando correos electrónicos dirigidos que disfrazan al remitente como una agencia de seguridad o diplomática.
Detectar Ataques de Kimsuky Dirigidos a Japón
El grupo Kimsuky APT de Corea del Norte está aumentando el volumen y la sofisticación de sus ataques, particularmente en Asia Oriental. Mejorando continuamente su kit de herramientas maliciosas, la reciente campaña de Kimsuky utilizó la extensión de Chrome TRANSLATEXT para el robo de datos y presentó una nueva puerta trasera de Linux llamada Gomir para atacar organizaciones en Corea del Sur y países vecinos.
Recientemente, investigadores de seguridad descubrieron otra campaña de Kimsuky que apunta activamente a Japón, utilizando una compleja cadena de infección para infiltrarse en redes de interés. Para mantenerse al tanto de los ataques asociados, la Plataforma SOC Prime para la defensa cibernética colectiva ofrece un conjunto de detecciones curadas que abordan las TTP utilizadas por los adversarios en esta campaña.
Simplemente presione el botón Explorar Detecciones a continuación e inmediatamente profundice en un conjunto de reglas Sigma dedicado. Todas las reglas son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK®. Además, las detecciones se enriquecen con metadatos extensos, incluidas referencias de inteligencia de amenazas, líneas de tiempo de ataque y recomendaciones de triaje para facilitar la investigación de amenazas.
Los profesionales de seguridad que deseen analizar las TTP de Kimsuky con más detalle pueden encontrar contenido de detección adicional buscando en el Mercado de Detección de Amenazas con la etiqueta «Kimsuky» o siguiendo este enlace para acceder a todas las reglas asociadas con el colectivo de hackers.
Kimsuky Atacando Organizaciones Japonesas: Un Análisis de Campaña
En marzo de 2024, JPCERT/CC descubrió una nueva actividad maliciosa de la nefasta banda Kimsuky APT, que tiene a las organizaciones japonesas entre sus principales objetivos. Además de la campaña ofensiva contra el sector académico de Corea del Sur, los hackers de Kimsuky han estado atacando organizaciones de Japón usando archivos EXE y DOCX enviados a través de un vector de ataque por phishing y apuntando a robar datos sensibles de dispositivos comprometidos.
El flujo de infección se desencadena por un correo electrónico de spear-phishing que suplanta a una organización de seguridad y diplomacia. El correo electrónico va acompañado de un archivo comprimido con archivos armados que contienen extensiones de archivo dobles, junto con un gran número de espacios en cada nombre de archivo para ocultar la extensión. Una vez ejecutado, el archivo EXE principal lleva a descargar un archivo VBS de una fuente externa, que luego se ejecuta usando wscript.exe. El archivo VBS, a su vez, descarga un script PowerShell de una fuente externa e invoca la función PokDoc. El mismo archivo VBS malicioso asegura la persistencia configurando la clave de ejecución Run del registro para ejecutar automáticamente el archivo oculto en cada inicio del sistema.
El PowerShell descargado por el archivo VBS actúa como un registrador de teclas y está destinado a robar datos de los dispositivos afectados, incluidos los detalles del sistema y de la red, la lista de archivos en carpetas de usuario específicas y los datos de la cuenta de usuario. Los adversarios envían los datos robados a una URL predefinida para verificar si el entorno de ejecución es un sistema de sandbox o análisis. Además, el script crea otro archivo VBS en un directorio público. Una vez ejecutado, descarga código adicional de PowerShell y llama a una función InfoKey con un parámetro específico, facilitando la evasión de detección y ayudando a los atacantes a mantener una persistente discretamente.
A medida que Kimsuky experimenta continuamente con nuevas capacidades ofensivas para eludir las medidas de seguridad y permanecer bajo el radar mientras aumenta la sofisticación de sus ataques en curso, es imperativo que las organizaciones incrementen la vigilancia cibernética. La suite completa de productos de SOC Prime para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación de Pila de Detección equipa a los equipos de seguridad con soluciones de vanguardia para la defensa cibernética proactiva, minimizando los riesgos de amenazas emergentes más desafiantes para la organización.