Détection des Nouvelles Campagnes du Groupe Kimsuky APT : Les Hackers Nord-Coréens Exploitent les Fichiers d’Aide HTML Compilés par Microsoft dans des Attaques Cybernétiques en Cours
Table des matières :
Juste après la fin de la campagne offensive DEEP#GOSU associée au collectif de piratage nord-coréen Kimsuky APT, le groupe revient sous les feux de la rampe en modifiant ses TTP adversaires. Les défenseurs ont récemment observé l’utilisation par Kimsuky de fichiers Microsoft Compiled HTML Help (CHM) pour diffuser des logiciels malveillants et collecter des données sensibles à partir des instances impactées.
Détecter les dernières attaques de Kimsuky APT
Au cours des derniers mois, Kimsuky APT a continuellement été sous les feux de la rampe en raison de l’ampleur croissante et de la sophistication de ses campagnes. Posant une menace significative pour les cyber défenseurs du monde entier, Kimsuky modifie continuellement ses TTP pour atteindre des objectifs malveillants tout en passant sous le radar.
Pour se tenir au courant des possibles attaques de Kimsuky, les professionnels de la cybersécurité ont besoin d’une source fiable de contenu de détection associée à un ensemble d’outils de nouvelle génération pour rationaliser les opérations de sécurité. La Plateforme SOC Prime pour la défense cyber collective propose des règles Sigma organisées couvrant la dernière campagne malveillante de Kimsuky APT soutenue par des solutions avancées de chasse aux menaces et d’ingénierie de détection.
Appuyez simplement sur Explorer les Détections et accédez à l’ensemble complet de détection conçu pour identifier les derniers TTP de Kimsuky. Toutes les détections sont alignées avec le cadre MITRE ATT&CK® v14.1 et enrichies de métadonnées exploitables et de renseignements sur les menaces organisés.
Pour permettre aux défenseurs de déjouer de manière proactive les intrusions posées par Kimsuky APT, la Plateforme SOC Prime agrège une sélection plus large d’algorithmes de détection couvrant l’activité hostile pertinente. Recherchez simplement dans le Threat Detection Marketplace par le tag « Kimsuky » basé sur l’identifiant du groupe ou suivez ce lien.
Vue d’ensemble de l’activité Kimsuky : ce qui se cache derrière la dernière campagne
Les chercheurs de Rapid7 ont récemment observé une nouvelle activité attribuée au tristement célèbre gang Kimsuky de la Corée du Nord. Le collectif de piratage, qui est sur le devant de la scène dans l’arène des menaces cybernétiques depuis plus d’une décennie, s’est principalement concentré sur le renseignement auprès des organismes d’État sud-coréens parmi ses principales cibles, ainsi que des organisations en Amérique du Nord, en Asie et en Europe. Les chercheurs ont découvert un livre de jeu mis à jour mettant en lumière les efforts de Kimsuky pour échapper à la détection, ce qui indique un changement significatif et une évolution des TTP du groupe.
Kimsuky a expérimenté plusieurs techniques d’attaquant, modifiant continuellement son arsenal adverse. Initialement, le gang a utilisé des documents Office et des fichiers ISO, tandis que l’année passée, les adversaires ont commencé à exploiter des fichiers de raccourci. Par exemple, lors de la récente campagne nommée DEEP#GOSU, Kimsuky a appliqué des fichiers LNK nuisibles intégrés avec des scripts PowerShell qui ont déclenché une chaîne d’infection. Dans la dernière campagne malveillante, les hackers nord-coréens utilisent des fichiers Compiled HTML Help (CHM) pour déployer des logiciels malveillants et collecter davantage de données intelligentes des hôtes compromis.
Selon la recherche, les acteurs de Kimsuky exploitent les fichiers CHM, qui sont distribués via des archives ISO, VHD, ZIP ou RAR, permettant aux menaces de contourner la détection. Lors de l’extraction et de l’ouverture de l’un des fichiers mentionnés ci-dessus, cela déclenche un VBScript qui établit une persistance et se connecte à un serveur distant pour récupérer une charge utile ultérieure, capable de collecter et de transmettre des données sensibles. Bien qu’à l’origine destinés à la documentation d’aide, les fichiers CHM ont été de plus en plus utilisés comme armes par les attaquants en raison de leur capacité à exécuter du JavaScript à l’ouverture.
Les attaques continues de Kimsuky observées dans la campagne la plus récente se concentrent principalement sur les organisations situées en Corée du Sud. Les chercheurs ont également révélé une chaîne d’infection alternative, qui commence par un fichier CHM qui initie le dépôt de fichiers batch capables de collecter des informations et un script PowerShell pour établir une connexion avec le serveur C2 et faciliter le transfert de données.
Le volume croissant d’attaques sophistiquées liées au gang cybercriminel Kimsuky et l’avancée continue des techniques adverses du groupe incitent les défenseurs à renforcer la résilience cybernétique et les mesures proactives pour minimiser les risques d’intrusion. En tirant parti de l’ Attack Detectivede SOC Prime, les organisations tournées vers l’avenir peuvent repérer à temps les angles morts de la défense cybernétique, les traiter efficacement et prioriser les procédures de détection et de chasse pour prévenir les attaques qu’elles anticipent le plus.
