Rilevamento della Campagna di Attacco DEEP#GOSU: L’APT Nordcoreana Kimsuky Probabilmente Dietro Attacchi con Malware PowerShell e VBScript
Indice:
Il nefando gruppo di cyber-spionaggio nordcoreano Kimsuky APT è stato al centro dell’attenzione nel panorama delle minacce informatiche almeno dal 2012. Una nuova campagna offensiva multistadio affiliata a Kimsuky, tracciata come DEEP#GOSU, è finita sui titoli dei giornali, rappresentando una minaccia per gli utenti Windows e utilizzando malware PowerShell e VBScript per infettare i sistemi presi di mira.
Rileva la Campagna di Attacco DEEP#GOSU
L’anno scorso è stato caratterizzato da un’intensa attività degli attori APT, che riflette l’influenza diretta delle tensioni geopolitiche esistenti sull’ambito informatico. Questa volta, gli esperti di sicurezza informatica avvertono le organizzazioni e gli utenti individuali di una campagna dannosa in corso da parte del famigerato Kimsuky APT, che prende sempre più di mira gli utenti Windows per ottenere un accesso furtivo esteso nell’ambiente durante l’operazione DEEP#GOSU.
Per rimanere proattivi e identificare le possibili intrusioni nelle fasi iniziali del loro sviluppo, i difensori informatici necessitano di soluzioni avanzate di rilevamento e caccia alle minacce, abbinate ad algoritmi di rilevamento basati sul comportamento che affrontano le TTP avversarie. La piattaforma SOC Prime per la difesa informatica collettiva offre un ampio set di strumenti all’avanguardia per potenziare la tua indagine sulle minacce con un pacchetto di rilevamento dedicato al rilevamento di DEEP#GOSU.
Premi il Esplora Rilevamenti pulsante qui sotto e accedi immediatamente a una raccolta di regole Sigma rilevanti compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake. Tutte le regole sono mappate su MITRE ATT&CK v14.1 e accompagnate da dettagliate informazioni sulle minacce insieme a metadati estesi.
Per aiutare i professionisti della sicurezza a stare al passo con gli attacchi lanciati da Kimsuky APT, la piattaforma SOC Prime aggrega una selezione più ampia di regole che coprono attività dannose associate alla minaccia in prima pagina. Basta cercare nel Marketplace di Rilevamento delle Minacce con il tag “Kimsuky” basato sull’identificatore del gruppo o seguire questo link.
Analisi della Campagna Malware DEEP#GOSU
Il team di ricerca sulle minacce Securonix ha recentemente fatto luce sull’ operazione offensiva in corso identificata come DEEP#GOSU, che è molto probabilmente collegata al famigerato gruppo nordcoreano Kimsuky . Gli attori affiliati alla minaccia sono stati osservati in più campagne mirate contro la Corea del Sud con un forte focus sulle attività di cyber-spionaggio.
Nell’ultima campagna, gli avversari sfruttano una catena di attacco sofisticata basata su script, impiegando più stadi PowerShell e VBScript per infiltrarsi segretamente nei sistemi Windows e raccogliere dati sensibili. Le capacità offensive includono esfiltrazione di dati, keylogging, monitoraggio degli appunti ed esecuzione dinamica del payload. Gli avversari mantengono la persistenza tramite attività pianificate e utilizzano script PowerShell autoinnescanti e software RAT per ottenere il controllo remoto completo.
In particolare, il processo di infezione si basa su servizi legittimi come Dropbox o Google Docs per il C2, consentendo agli avversari di mascherare le loro operazioni dannose nel normale traffico di rete mentre evitano il rilevamento. Inoltre, utilizzare questi servizi cloud per ospitare i payload facilita l’aggiornamento delle funzionalità del malware o la consegna di moduli supplementari.
La catena di infezione è innescata dall’apertura di un allegato email armato con un archivio ZIP. Quest’ultimo contiene un file di collegamento ingannevole camuffato da file PDF. Il file LNK dannoso viene fornito con uno script PowerShell insieme a un documento PDF esca. Lo script comunica con un’infrastruttura Dropbox controllata dagli aggressori per recuperare ed eseguire un altro script PowerShell.
Il successivo script PowerShell recupera un altro file da Dropbox. Quest’ultimo è un assembly .NET in forma binaria ed è un RAT open-source chiamato TruRat (noto anche come TutRat o C# R.A.T.). In aggiunta a questo malware, lo script PowerShell recupera anche un file VBScript dannoso, che serve a eseguire comandi sul sistema compromesso e stabilire attività pianificate per la persistenza.
Inoltre, il VBScript impiegato in questa campagna di malware abusa di Google Docs per recuperare dinamicamente i dati di configurazione per la connessione a Dropbox. Ciò consente agli avversari di modificare le informazioni sull’account senza alterare direttamente lo script. Lo script PowerShell scaricato può raccogliere informazioni di sistema complete e inviare questi dati tramite una richiesta POST a Dropbox per l’esfiltrazione. Funziona come un backdoor, concedendo il controllo sugli host compromessi mentre registra continuamente l’attività degli utenti.
Per minimizzare i rischi e l’impatto del malware furtivo utilizzato nella sofisticata campagna DEEP#GOSU ed efficacemente prevenire minacce simili, i difensori raccomandano di applicare le migliori pratiche di sicurezza, come evitare il download di file o allegati da fonti esterne, monitorare continuamente l’ambiente per attività sospette e migliorare la copertura del rilevamento.
Con l’aumento significativo degli attacchi sofisticati da parte di Kimsuky APT, che rappresentano una potenziale minaccia per le organizzazioni in molteplici settori, inclusi gli enti governativi, i difensori cercano modi per implementare strategie di cybersicurezza preventive per contrastare tempestivamente le intrusioni mirate degli APT. Sfruttando Attack Detective di SOC Prime, gli ingegneri della sicurezza possono elevare il livello di sicurezza informatica dell’organizzazione identificando tempestivamente i punti ciechi della difesa informatica, identificando i dati appropriati da raccogliere per affrontare queste lacune e ottimizzare il ROI di SIEM, dando priorità alle procedure di rilevamento prima che gli avversari abbiano la possibilità di colpire.
