Rilevazione del Backdoor Gold Dragon: Gli Hacker di Kimsuky Attaccano Ancora Usando il Malware Gold Dragon

[post-views]
Marzo 25, 2022 · 4 min di lettura
Rilevazione del Backdoor Gold Dragon: Gli Hacker di Kimsuky Attaccano Ancora Usando il Malware Gold Dragon

La campagna di hacking più recente degli APT nordcoreani, Kimsuky, è stata lanciata alla fine di gennaio 2022 ed è ancora in corso. Questa volta, gli hacker di Kimsuky sono armati con strumenti di accesso remoto open-source di mercato (RAT) installati con il malware personalizzato Gold Dragon.

Rileva il backdoor Gold Dragon

Per identificare se il tuo sistema è stato compromesso dal malware Gold Dragon, utilizza le seguenti regole fornite dai nostri abili sviluppatori di Threat Bounty Furkan Celik and Osman Demir:

Rilevamento Quasar Gold Dragon (febbraio) (tramite evento del registro)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB e Open Distro.

La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di persistenza con Boot o Logon Autostart Execution come tecnica principale (T1547).

Attività sospetta del Threat Actor prendendo di mira aziende specializzate in emissioni di carbonio (tramite process_creation)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, AWS OpenSearch, Securonix e Open Distro.

La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando le tattiche di esecuzione ed elusione delle difese con Command and Scripting Interpreter (T1059), Signed Binary Proxy Execution (T1218) come tecniche principali.

L’elenco completo delle rilevazioni associate agli APT di Kimsuky nel repository del Threat Detection Marketplace della piattaforma di SOC Prime è disponibile qui.

SOC Prime esorta i professionisti della sicurezza a unirsi contro attacchi cyber sostenuti dalla Russia che accompagnano l’aggressione militare contro l’Ucraina. Il modulo Quick Hunt di SOC Prime consente di navigare efficientemente attraverso un’ampia collezione di contenuti di threat hunting associati all’aggressione russa con i seguenti tag #stopwar, #stoprussian, e #stoprussianagression. Le query di threat hunting dedicate sono disponibili GRATUITAMENTE tramite il link sottostante, consentendo ai team di cercare immediatamente le minacce rilevanti:

Collezione completa di contenuti di hunting per rilevare minacce originate dalla Russia

Desideroso di connetterti con i leader del settore e sviluppare tuoi contenuti? Unisciti all’iniziativa crowdsourced di SOC Prime come contributore di contenuti e condividi le tue regole Sigma e YARA con la comunità globale della cybersecurity rafforzando la difesa cibernetica collaborativa in tutto il mondo.

Visualizza Rilevamenti Unisciti a Threat Bounty

Attacchi APT Kimsuky

Kimsuky, aka TA406, è un gruppo APT collegato alla Corea del Nord attivo dal 2013. La campagna più recente iniziata a fine gennaio è caratterizzata dall’uso da parte degli hacker di RAT di mercato in attacchi mirati contro organizzazioni sudcoreane. L’utilizzo di RAT di mercato consente agli attori delle minacce di concentrarsi sulla generazione di malware di fase successiva che richiede funzionalità più specifiche in base agli strumenti di protezione e alle procedure disponibili sulla macchina infetta. Negli attacchi più recenti, gli hacker hanno distribuito un file aggiuntivo (“UnInstall_kr5829.co.in.exe”) con xRAT per cancellare le loro tracce nel sistema compromesso.

Secondo i ricercatori di ASEC, Kimsuky ha utilizzato una variante del loro backdoor personalizzato Gold Dragon. Si tratta di un backdoor di seconda fase installato tramite l’installatore esclusivo (“installer_sk5621.com.co.exe”). L’installatore crea quindi una nuova voce nel registro per garantire la persistenza del payload del malware (“glu32.dll”). L’analisi del backdoor Gold Dragon mostra che gli hacker lo usano per scaricare uno strumento xRAT per rubare manualmente i dati dalla macchina infetta.

Tempi drammatici richiedono misure drastiche! Unisciti alle forze con la piattaforma Detection as Code di SOC Prime per migliorare le tue capacità di rilevamento delle minacce con il potere di una comunità globale di esperti di cybersecurity. Puoi anche arricchire l’expertise collaborativa contribuendo a l’iniziativa di crowdsourcing di SOC Prime. Scrivi e invia le tue regole Sigma e YARA, falle pubblicare su una piattaforma e ricevi premi ricorrenti per il tuo contributo.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione 4 min di lettura Ultime Minacce CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione by Veronika Telychko
Tutte le notizie