Rilevamento della Campagna APT di Kimsuky Rivolta alle Organizzazioni Giapponesi
Indice:
Dalla primavera del 2024, il noto collettivo di hacking legato alla Corea del Nord seguito come Kimsuky APT ha lanciato una campagna mirata contro istituti accademici sudcoreani. I difensori hanno anche rivelato le operazioni offensive del gruppo, che prendono di mira attivamente le organizzazioni giapponesi. La campagna dell’avversario in corso si basa su un vettore di attacco phishing, con hacker che sfruttano e-mail mirate che mascherano un mittente come un’agenzia di sicurezza o diplomatica.
Rileva attacchi Kimsuky rivolti al Giappone
Il gruppo APT Kimsuky nordcoreano sta intensificando il volume e la sofisticazione dei suoi attacchi, in particolare nell’Asia orientale. Migliorando continuamente il suo toolkit malevolo, la recente campagna di Kimsuky ha utilizzato l’estensione TRANSLATEXT di Chrome per il furto di dati e ha introdotto una nuova backdoor Linux chiamata Gomir per prendere di mira organizzazioni in Corea del Sud e paesi vicini.
Recentemente, i ricercatori di sicurezza hanno scoperto un’altra campagna di Kimsuky che prende di mira attivamente il Giappone, utilizzando una catena di infezione complessa per infiltrarsi nelle reti di interesse. Per rimanere al passo con gli attacchi associati, SOC Prime Platform per la difesa informatica collettiva offre un insieme di rilevamenti curati per affrontare i TTP utilizzati dagli avversari in questa campagna.
Basta premere il pulsante Esplora Rilevamenti sotto e approfondire immediatamente un set di regole Sigma dedicate. Tutte le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con metadati estesi, tra cui riferimenti di intelligence sulle minacce, cronologie degli attacchi e raccomandazioni di triage per facilitare l’indagine sulla minaccia.
I professionisti della sicurezza che cercano di analizzare i TTP di Kimsuky in dettaglio possono trovare contenuti di rilevamento aggiuntivi cercando nel Threat Detection Marketplace con il tag “Kimsuky” o seguendo questo link per accedere a tutte le regole associate al collettivo di hacking.
Kimsuky attacca le organizzazioni giapponesi: un’analisi della campagna
A marzo 2024, JPCERT/CC ha scoperto un’attività malevola inedita del nefasto gruppo Kimsuky APT, che ha tra i suoi principali obiettivi le organizzazioni giapponesi. Oltre alla campagna offensiva contro il settore accademico sudcoreano, gli hacker di Kimsuky hanno attaccato organizzazioni giapponesi utilizzando file EXE e DOCX inviati tramite un vettore di attacco phishing, con l’obiettivo di rubare dati sensibili dai dispositivi compromessi.
Il flusso di infezione è scatenato da un’email di spear-phishing che impersona un’organizzazione di sicurezza e diplomatica. L’email è accompagnata da un archivio con file armati contenenti doppi estensioni di file, insieme a un gran numero di spazi in ciascun nome file per nascondere l’estensione. Una volta eseguito, il principale file EXE porta al download di un file VBS da una fonte esterna, che viene quindi eseguito utilizzando wscript.exe. Il file VBS, a sua volta, scarica uno script PowerShell da una fonte esterna e invoca la funzione PokDoc. Lo stesso file VBS malevolo garantisce la persistenza impostando la chiave Run del registro per eseguire automaticamente il file nascosto ad ogni avvio del sistema.
Il PowerShell scaricato dal file VBS funge da keylogger ed è destinato a rubare dati dai dispositivi bersaglio, inclusi dettagli di sistema e di rete, l’elenco dei file in cartelle utente specifiche e i dati dell’account utente. Gli avversari inviano i dati rubati a un URL predefinito per verificare se l’ambiente di esecuzione è una sandbox o un sistema di analisi. Inoltre, lo script crea un altro file VBS in una directory pubblica. Una volta eseguito, scarica ulteriore codice PowerShell e chiama una funzione InfoKey con un parametro specifico, facilitando l’evasione della rilevazione e aiutando gli aggressori a mantenere una persistenza furtiva.
Poiché Kimsuky sperimenta continuamente nuove capacità offensive per aggirare le misure di sicurezza e rimanere sotto il radar aumentando la sofisticazione dei suoi attacchi in corso, è imperativo per le organizzazioni aumentare la vigilanza informatica. La suite completa di prodotti SOC Prime per il rilevamento ingegneristico potenziato dall’IA, la caccia automatizzata alle minacce e la convalida dello stack di rilevamento equipaggiano i team di sicurezza con soluzioni all’avanguardia per la difesa informatica proattiva per minimizzare i rischi delle minacce emergenti più impegnative per l’organizzazione.
