Détection de la Campagne d’Attaque DEEP#GOSU : APT Kimsuky Nord-Coréen Probablement Derrière les Attaques Utilisant des Logiciels Malveillants PowerShell et VBScript
Table des matières :
Le groupe APT nord-coréen de cyber-espionnage néfaste Kimsuky est sous les feux de la rampe dans le paysage des menaces cybernétiques depuis au moins 2012. Une nouvelle campagne offensive multi-étapes affiliée à Kimsuky, suivie sous le nom de DEEP#GOSU, fait les gros titres, posant des menaces aux utilisateurs de Windows et utilisant des logiciels malveillants PowerShell et VBScript pour infecter les systèmes ciblés.
Détecter la campagne d’attaque DEEP#GOSU
L’année dernière a été marquée par une intensification significative de l’activité des acteurs APT, ce qui reflète l’influence directe des tensions géopolitiques existantes sur le domaine cybernétique. Cette fois, les experts en cybersécurité avertissent les organisations et les utilisateurs individuels d’une campagne malveillante en cours menée par le tristement célèbre Kimsuky APT, qui cible de plus en plus les utilisateurs de Windows pour obtenir un accès furtif étendu à l’environnement lors de l’opération DEEP#GOSU.
Pour rester proactifs et identifier de possibles intrusions dès les premiers stades de leur développement, les défenseurs cybernétiques ont besoin de solutions avancées de détection et de chasse aux menaces, associées à des algorithmes de détection basés sur le comportement qui traitent les TTP des adversaires. La plateforme SOC Prime pour la défense cybernétique collective propose une large collection d’outils de pointe pour dynamiser votre investigation des menaces, tout en regroupant un ensemble de détection dédié à la détection de DEEP#GOSU.
Cliquez sur Explorer les détections bouton ci-dessous et accédez immédiatement à une collection de règles Sigma pertinentes compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake. Toutes les règles sont mappées sur MITRE ATT&CK v14.1 et accompagnées de renseignements sur les menaces détaillés ainsi que de métadonnées étendues.
Pour aider les praticiens de la sécurité à anticiper les attaques lancées par Kimsuky APT, la plateforme SOC Prime agrège une plus large sélection de règles couvrant l’activité malveillante associée à l’acteur de la menace sous les feux de la rampe. Il suffit de rechercher sur le Marketplace de détection des menaces avec le tag « Kimsuky » basé sur l’identifiant du groupe ou de suivre ce lien.
Analyse de la campagne de logiciels malveillants DEEP#GOSU
L’équipe de recherche sur les menaces de Securonix a récemment mis en lumière l’ opération offensive en cours identifiée sous le nom de DEEP#GOSU, qui est très probablement liée au tristement célèbre groupe nord-coréen Kimsuky . Les acteurs de la menace affiliés ont été observés dans de multiples campagnes ciblées contre la Corée du Sud, avec un fort accent sur les activités de cyber-espionnage.
Dans la dernière campagne, les adversaires exploitent une nouvelle chaîne d’attaque sophistiquée basée sur des scripts, utilisant plusieurs étapes PowerShell et VBScript pour s’infiltrer secrètement dans les systèmes Windows et collecter des données sensibles. Les capacités offensives incluent l’exfiltration de données, la journalisation des frappes au clavier, la surveillance du presse-papiers et l’exécution dynamique de la charge utile. Les adversaires maintiennent la persistance grâce à des tâches planifiées et utilisent des scripts PowerShell auto-déclenchés et un logiciel RAT pour obtenir un contrôle total à distance.
Notamment, le processus d’infection repose sur des services légitimes comme Dropbox ou Google Docs pour le C2, permettant aux adversaires de déguiser leurs opérations malveillantes dans le trafic réseau normal tout en évitant la détection. De plus, l’utilisation de ces services cloud pour héberger les charges utiles facilite la mise à jour des fonctionnalités du logiciel malveillant ou la livraison de modules supplémentaires.
La chaîne d’infection est déclenchée par l’ouverture d’une pièce jointe email armée avec une archive ZIP. Ce dernier contient un fichier de raccourci trompeur déguisé en fichier PDF. Le fichier LNK malveillant s’intègre avec un script PowerShell ainsi qu’un document PDF de leurre. Le script communique avec une infrastructure Dropbox contrôlée par les attaquants pour récupérer et exécuter un autre script PowerShell.
Le script PowerShell suivant récupère un autre fichier de Dropbox. Ce dernier est une assemblée .NET binaire sous forme de base étant un RAT open-source surnommé TruRat (également connu sous le nom de TutRat ou C# R.A.T.). En plus de ce malware, le script PowerShell récupère également un fichier VBScript nuisible, qui est destiné à exécuter des commandes sur le système compromis et à établir des tâches planifiées pour la persistance.
De plus, le VBScript utilisé dans cette campagne de logiciels malveillants abuse de Google Docs pour récupérer dynamiquement des données de configuration pour la connexion Dropbox. Cela permet aux adversaires de modifier les informations de compte sans modifier directement le script. Le script PowerShell téléchargé peut collecter des informations système complètes et soumettre ces données via une requête POST à Dropbox pour l’exfiltration. Il fonctionne comme une porte dérobée, accordant le contrôle sur les hôtes compromis tout en enregistrant en continu l’activité de l’utilisateur.
Pour minimiser les risques et l’impact des logiciels malveillants furtifs utilisés dans la campagne sophistiquée DEEP#GOSU et prévenir efficacement les menaces similaires, les défenseurs recommandent d’appliquer les meilleures pratiques de sécurité, comme éviter de télécharger des fichiers ou des pièces jointes de sources externes, surveiller en continu l’environnement pour détecter toute activité suspecte et améliorer la couverture de détection.
Avec la forte augmentation des attaques sophistiquées par Kimsuky APT, posant une menace potentielle aux organisations dans plusieurs secteurs industriels, y compris les entités gouvernementales, les défenseurs cherchent des moyens de mettre en œuvre des stratégies de cybersécurité préventives pour déjouer à temps les intrusions ciblées par les APT. En exploitant SOC Prime’s Attack Detective, les ingénieurs en sécurité peuvent élever la posture de cybersécurité de l’organisation en identifiant en temps voulu les angles morts de la défense cybernétique, en identifiant les données appropriées à collecter pour combler ces lacunes et optimiser le ROI du SIEM tout en priorisant les procédures de détection avant que les adversaires n’aient une chance de frapper.
