Rilevamento della Nuova Campagna Kimsuky APT: Hacker Nordcoreani Sfruttano i File di Aiuto HTML Compilati di Microsoft in Attacchi Informatici in Corso
Indice:
Subito dopo la campagna offensiva DEEP#GOSU associata al collettivo di hacker nordcoreano Kimsuky APT, il gruppo torna sotto i riflettori cambiando i propri TTP avversari. I difensori hanno recentemente osservato l’uso da parte di Kimsuky dei file Microsoft Compiled HTML Help (CHM) per diffondere malware e raccogliere dati sensibili dalle istanze colpite.
Rilevare gli attacchi più recenti di Kimsuky APT
Negli ultimi mesi, Kimsuky APT è stato costantemente sotto i riflettori a causa della crescente portata e sofisticazione delle sue campagne. Rappresentando una minaccia significativa per i difensori informatici a livello globale, Kimsuky modifica continuamente i suoi TTP per raggiungere obiettivi dannosi mentre vola sotto il radar.
Per rimanere al passo con i possibili attacchi di Kimsuky, i professionisti della cybersicurezza necessitano di una fonte affidabile di contenuti di rilevamento abbinata a un toolset di nuova generazione per semplificare le operazioni di sicurezza. La piattaforma SOC Prime per la difesa cibernetica collettiva offre regole Sigma curate che affrontano l’ultima campagna dannosa di Kimsuky APT supportata da soluzioni avanzate di threat hunting e ingegneria del rilevamento.
Basta cliccare su Esplora Rilevamenti per accedere all’ampio stack di rilevamento progettato per identificare gli ultimi TTP di Kimsuky. Tutti i rilevamenti sono allineati con il framework MITRE ATT&CK® v14.1 e arricchiti con metadati attuabili e intelligenza sulle minacce curata.
Per consentire ai difensori di contrastare proattivamente le intrusioni poste da Kimsuky APT, la piattaforma SOC Prime aggrega una selezione più ampia di algoritmi di rilevamento che coprono attività rilevanti degli avversari. Basta cercare Threat Detection Marketplace con il tag “Kimsuky” basato sull’identificatore del gruppo o seguire questo link.
Panoramica sull’attività di Kimsuky: Cosa c’è dietro l’ultima campagna
I ricercatori di Rapid7 hanno recentemente osservato nuove attività attribuite al famigerato gruppo nordcoreano Kimsuky gang. Il collettivo di hacker, che è stato sotto i riflettori nell’arena delle minacce informatiche per oltre un decennio, si è concentrato principalmente sulla raccolta di informazioni con enti statali sudcoreani tra i suoi obiettivi principali insieme a organizzazioni in Nord America, Asia ed Europa. I ricercatori hanno scoperto un playbook aggiornato che evidenzia gli sforzi di Kimsuky per eludere il rilevamento, il che indica un significativo cambiamento ed evoluzione nei TTP del gruppo.
Kimsuky ha sperimentato diverse tecniche di attacco, modificando continuamente il proprio toolkit avversario. Inizialmente, la gang ha sfruttato documenti Office e file ISO, mentre nell’ultimo anno, gli avversari hanno iniziato a sfruttare i file di collegamento. Ad esempio, nella recente campagna denominata DEEP#GOSU, Kimsuky ha applicato file LNK dannosi incorporati con script PowerShell che hanno attivato una catena di infezione. Nell’ultima campagna malevola, gli hacker nordcoreani impiegano file Compiled HTML Help (CHM) per distribuire malware e raccogliere ulteriori dati intelligenti dai host compromessi.
Secondo la ricerca, gli attori di Kimsuky sfruttano i file CHM, che vengono distribuiti tramite archivi ISO, VHD, ZIP o RAR, consentendo agli attori delle minacce di bypassare il rilevamento. All’estrazione e apertura di uno dei file sopra menzionati, si attiva un VBScript che stabilisce la persistenza e si connette a un server remoto per recuperare un payload successivo, in grado di raccogliere e trasmettere dati sensibili. Sebbene inizialmente concepiti per la documentazione di aiuto, i file CHM sono stati sempre più armati dagli attaccanti a causa della loro capacità di eseguire JavaScript all’apertura.
Gli attacchi in corso di Kimsuky osservati nella campagna più recente sono principalmente concentrati su organizzazioni situate in Corea del Sud. I ricercatori hanno anche rivelato una catena di infezione alternativa, che inizia con un file CHM che avvia il rilascio di file batch capaci di raccogliere informazioni e uno script PowerShell per stabilire una connessione con il server C2 e facilitare il trasferimento dati.
Il crescente volume di attacchi sofisticati legati alla banda di cyber-crimine Kimsuky e il continuo progresso delle tecniche avversarie del gruppo incoraggiano i difensori a migliorare la resilienza informatica e le misure proattive per ridurre al minimo i rischi di intrusioni. Sfruttando il Attack Detectivedi SOC Prime, le organizzazioni lungimiranti possono individuare tempestivamente i punti ciechi della difesa cibernetica, affrontarli efficacemente e dare priorità alle procedure di rilevamento e di caccia per prevenire gli attacchi che prevedono maggiormente.
