Detección de Nueva Campaña de Kimsuky APT: Hackers Norcoreanos Aprovechan Archivos de Ayuda HTML Compilados de Microsoft en Ciberataques en Curso
Tabla de contenidos:
Justo después de la campaña ofensiva DEEP#GOSU asociada con el colectivo de hackers norcoreano Kimsuky APT, el grupo vuelve a ser el centro de atención al cambiar sus TTPs adversarias. Los defensores han observado recientemente el uso por parte de Kimsuky de archivos de Ayuda Compilada de HTML de Microsoft (CHM) para distribuir malware y recopilar datos sensibles de las instancias afectadas.
Detectar los Últimos Ataques de Kimsuky APT
Durante los últimos meses, Kimsuky APT ha estado continuamente en el centro de atención debido al creciente alcance y sofisticación de sus campañas. Representando una amenaza significativa para los defensores cibernéticos globalmente, Kimsuky cambia constantemente sus TTPs para alcanzar objetivos maliciosos mientras pasa desapercibido.
Para estar al tanto de posibles ataques de Kimsuky, los profesionales de ciberseguridad necesitan una fuente confiable de contenido de detección combinada con un conjunto de herramientas de próxima generación para agilizar las operaciones de seguridad. La plataforma de SOC Prime para defensa cibernética colectiva ofrece reglas Sigma seleccionadas que abordan la última campaña maliciosa de Kimsuky APT respaldada por soluciones avanzadas de caza de amenazas e ingeniería de detección.
Simplemente accede Explora Detecciones y accede al amplio conjunto de detección diseñado para identificar los últimos TTPs de Kimsuky. Todas las detecciones están alineadas con el marco MITRE ATT&CK® v14.1 y enriquecidas con metadatos procesables e intel de amenazas seleccionada.
Para permitir que los defensores contrarresten proactivamente las intrusiones planteadas por Kimsuky APT, la plataforma SOC Prime agrega una selección más amplia de algoritmos de detección que cubren actividad adversaria relevante. Simplemente busca en Threat Detection Marketplace por la etiqueta “Kimsuky” basada en el identificador del grupo o sigue este enlace.
Descripción General de la Actividad de Kimsuky: Lo que Hay Detrás de la Última Campaña
Investigadores de Rapid7 han observado recientemente una nueva actividad atribuida al notorio grupo Kimsuky de Corea del Norte.El colectivo de hackers, que ha estado en el candelero en el ámbito de amenazas cibernéticas por más de una década, se ha enfocado principalmente en recopilar inteligencia con cuerpos estatales surcoreanos, siendo uno de sus objetivos primarios junto con organizaciones en Norteamérica, Asia y Europa. Los investigadores han descubierto un libro de jugadas actualizado que destaca los esfuerzos de Kimsuky para evadir la detección, lo que apunta a un cambio significativo y evolución en los TTPs del grupo.
Kimsuky ha experimentado con múltiples técnicas de ataque, cambiando constantemente su conjunto de herramientas adversarias. Inicialmente, el grupo utilizó documentos de Office y archivos ISO, mientras que durante el último año, los adversarios comenzaron a explotar archivos de acceso directo. Por ejemplo, en la campaña reciente denominada DEEP#GOSU, Kimsuky aplicó archivos LNK dañinos incrustados con scripts de PowerShell que desencadenaron una cadena de infección. En la última campaña maliciosa, los hackers norcoreanos emplean archivos de Ayuda Compilada HTML (CHM) para soltar malware y recopilar aún más datos inteligentes de los hosts comprometidos.
Según la investigación, los actores de Kimsuky aprovechan los archivos CHM, que se distribuyen a través de archivos ISO, VHD, ZIP o RAR, permitiendo a los actores de amenazas eludir la detección. Al extraer y abrir uno de los archivos mencionados, se activa un VBScript que establece persistencia y se conecta a un servidor remoto para recuperar una carga útil subsecuente, que es capaz de recopilar y transmitir datos sensibles. Aunque inicialmente destinados para la documentación de ayuda, los archivos CHM han sido cada vez más utilizados por los atacantes debido a su capacidad de ejecutar JavaScript al abrirse.
Los ataques en curso de Kimsuky observados en la campaña más reciente se centran principalmente en organizaciones ubicadas en Corea del Sur. Los investigadores también revelaron una cadena de infección alterna, que comienza con un archivo CHM que inicia la caída de archivos batch capaces de recolectar información y un script de PowerShell para establecer una conexión con el servidor C2 y facilitar la transferencia de datos.
El creciente volumen de ataques sofisticados vinculados al grupo de cibercrimen Kimsuky y el continuo avance de las técnicas adversarias del grupo animan a los defensores a mejorar la resiliencia cibernética y las medidas proactivas para minimizar los riesgos de intrusiones. Aprovechando el Attack Detectivede SOC Prime, las organizaciones con visión de futuro pueden detectar puntualmente puntos ciegos de defensa cibernética, abordarlos de manera efectiva y priorizar los procedimientos de detección y caza para prevenir los ataques que más anticipan.
