Détection du Cheval de Troie Gold Dragon : Les Hackers Kimsuky Frappent Encore avec le Logiciel Malveillant Gold Dragon
Table des matières :
La campagne de piratage la plus récente par l’APT nord-coréen Kimsuky a été lancée fin janvier 2022 et est toujours en cours. Cette fois, les hackers Kimsuky sont armés d’outils d’accès à distance open-source de commodité (RATs) installés avec le malware personnalisé Gold Dragon.
Détecter le Gold Dragon Backdoor
Pour identifier que votre système a été compromis par le malware Gold Dragon, utilisez les règles suivantes fournies par nos développeurs expérimentés de Threat Bounty Furkan Celik and Osman Demir:
Détection Quasar Gold Dragon (Février) (via événement de registre)
Cette détection a des traductions pour les plateformes suivantes SIEM, EDR & XDR : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, et Open Distro.
La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant la tactique de Persistance avec l’exécution de démarrage ou de logon comme technique principale (T1547).
Cette détection a des traductions pour les plateformes suivantes SIEM, EDR & XDR : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, AWS OpenSearch, Securonix, et Open Distro.
La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’Exécution et d’Évasion de Défense avec Command and Scripting Interpreter (T1059), Signed Binary Proxy Execution (T1218) comme techniques principales.
La liste complète des détections associées à l’APT Kimsuky dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
SOC Prime exhorte les professionnels de la sécurité à s’unir contre les cyber-attaques soutenues par la Russie qui accompagnent l’agression militaire contre l’Ukraine. Le module Quick Hunt de SOC Prime permet de naviguer efficacement à travers une collection étendue de contenu de chasse aux menaces associé à l’agression russe avec les balises suivantes #stopwar, #stoprussian, et #stoprussianagression. Les requêtes de chasse aux menaces dédiées sont disponibles GRATUITEMENT via le lien ci-dessous permettant aux équipes de rechercher instantanément les menaces pertinentes :
Collection complète de contenu de chasse pour détecter les menaces d’origine russe
Désireux de vous connecter avec les leaders de l’industrie et de développer votre propre contenu ? Rejoignez l’initiative collaborative de SOC Prime en tant que contributeur de contenu et partagez vos propres règles Sigma et YARA avec la communauté mondiale de la cybersécurité tout en renforçant la défense cyber collaborative à l’international.
Voir les Détections Rejoindre Threat Bounty
Attaques APT Kimsuky
Kimsuky, alias TA406, est un groupe APT lié à la Corée du Nord actif depuis 2013. La campagne la plus récente qui a commencé fin janvier se caractérise par des hackers utilisant des RATs de commodité dans des attaques ciblées contre des organisations sud-coréennes. L’utilisation de RATs de commodité permet aux acteurs de la menace de concentrer leurs efforts sur la génération de malwares de niveau avancé nécessitant des fonctionnalités plus spécifiques basées sur les outils et procédures de protection disponibles sur la machine infectée. Dans les dernières attaques, les hackers ont distribué un fichier supplémentaire (« UnInstall_kr5829.co.in.exe ») avec xRAT pour effacer leurs traces dans le système compromis.
Selon les chercheurs d’ASEC, Kimsuky a utilisé une variante de son backdoor personnalisé Gold Dragon. C’est un backdoor de deuxième niveau installé via l’installateur exclusif (« installer_sk5621.com.co.exe »). L’installateur crée ensuite une nouvelle entrée de registre pour assurer la persistance de la charge utile du malware (« glu32.dll »). L’analyse de Gold Dragon Backdoor montre que les hackers l’utilisent pour télécharger un outil xRAT afin de voler manuellement les données de la machine infectée.
Les temps drastiques appellent des mesures drastiques ! Joignez vos forces avec la plateforme Detection as Code de SOC Prime pour améliorer vos capacités de détection de menaces avec la puissance d’une communauté mondiale d’experts en cybersécurité. Vous pouvez également enrichir l’expertise collaborative en contribuant à l’initiative de crowdsourcing de SOC Prime. Rédigez et soumettez vos règles Sigma et YARA, faites-les publier sur une plateforme, et recevez des récompenses récurrentes pour votre contribution.
