Détection de la campagne APT de Kimsuky ciblant les organisations japonaises
Table des matières :
Depuis le début du printemps 2024, le collectif de hackers notoire lié à la Corée du Nord suivi sous le nom de Kimsuky APT a lancé une campagne ciblée contre les institutions académiques sud-coréennes. Les défenseurs ont également dévoilé les opérations offensives du groupe, qui ciblent activement les organisations japonaises. La campagne d’adversaires en cours repose sur une attaque par hameçonnage, les pirates utilisant des emails ciblés qui déguisent un expéditeur en agence de sécurité ou diplomatique.
Détecter les attaques de Kimsuky ciblant le Japon
Le groupe Kimsuky APT nord-coréen augmente le volume et la sophistication de ses attaques, notamment en Asie de l’Est. Améliorant continuellement son ensemble d’outils malveillants, la campagne récente de Kimsuky a utilisé l’extension TRANSLATEXT de Chrome pour le vol de données et a introduit une nouvelle porte dérobée Linux appelée Gomir pour cibler les organisations en Corée du Sud et dans les pays voisins.
Récemment, des chercheurs en sécurité ont découvert une autre campagne de Kimsuky ciblant activement le Japon, utilisant une chaîne d’infection complexe pour infiltrer les réseaux d’intérêt. Pour rester au courant des attaques associées, la plateforme SOC Prime pour la défense cyber collective offre un ensemble de détections sélectionnées abordant les TTP utilisés par les adversaires dans cette campagne.
Appuyez simplement sur le Explorer les Détections bouton ci-dessous et accédez immédiatement à un ensemble de règles Sigma dédiées. Toutes les règles sont compatibles avec plus de 30 technologies SIEM, EDR, et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, les détections sont enrichies de métadonnées étendues, y compris des références de renseignement sur les menaces, des chronologies d’attaques et des recommandations de triage pour faciliter l’enquête sur les menaces.
Les professionnels de la sécurité souhaitant analyser plus en détail les TTP de Kimsuky peuvent trouver un contenu de détection supplémentaire en recherchant le Threat Detection Marketplace avec le tag « Kimsuky » ou en suivant ce lien pour accéder à toutes les règles associées au collectif de hackers.
Kimsuky attaquant les organisations japonaises : Une analyse de campagne
En mars 2024, le JPCERT/CC a découvert une nouvelle activité malveillante du sinistre gang Kimsuky APT lié à la Corée du Nord, qui a pour cibles principales les organisations japonaises. En plus de la campagne offensive contre which has Japanese organizations among its primary targets. In addition to the offensive campaign against le secteur académique sud-coréen, les pirates de Kimsuky ont attaqué des organisations du Japon en utilisant des fichiers EXE et DOCX envoyés via un vecteur d’attaque par hameçonnage et visant à voler des données sensibles à partir de dispositifs compromis.
Le flux d’infection est déclenché par un email de spear-phishing se faisant passer pour une organisation de sécurité et diplomatique. L’email est accompagné d’une archive contenant des fichiers armés avec des extensions de fichiers doubles, ainsi qu’un grand nombre d’espaces dans chaque nom de fichier pour cacher l’extension. Une fois exécuté, le fichier EXE principal mène au téléchargement d’un fichier VBS à partir d’une source externe, qui est ensuite exécuté en utilisant wscript.exe. Le fichier VBS, à son tour, télécharge un script PowerShell depuis une source externe et appelle la fonction PokDoc. Le même fichier VBS malveillant assure la persistance en définissant la clé Run du registre pour exécuter automatiquement le fichier caché à chaque démarrage du système.
Le PowerShell téléchargé par le fichier VBS sert de keylogger et est destiné à voler des données des dispositifs ciblés, y compris les détails du système et du réseau, la liste des fichiers dans des dossiers spécifiques de l’utilisateur, et les données de compte utilisateur. Les adversaires envoient les données volées à une URL prédéfinie pour vérifier si l’environnement d’exécution est un bac à sable ou un système d’analyse. De plus, le script crée un autre fichier VBS dans un répertoire public. Une fois exécuté, il télécharge un code PowerShell supplémentaire et appelle une fonction InfoKey avec un paramètre spécifique, facilitant l’évasion de la détection et aidant les attaquants à maintenir une persistance furtive.
Alors que Kimsuky expérimente continuellement de nouvelles capacités offensives pour contourner les mesures de sécurité et rester sous le radar tout en augmentant la sophistication de ses attaques en cours, il est impératif pour les organisations d’accroître la vigilance cyber. La suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation de la pile de détection équipe les équipes de sécurité avec des solutions à la pointe de la technologie pour une défense proactive contre les cybermenaces afin de minimiser les risques des menaces émergentes les plus difficiles pour l’organisation.
