Detecção da Campanha de Ataque DEEP#GOSU: Kimsuky APT da Coreia do Norte Provavelmente Está por Trás dos Ataques Usando Malware PowerShell e VBScript
Índice:
O nefasto ciberespião norte-coreano grupo Kimsuky APT tem estado em destaque no cenário de ameaças cibernéticas desde, pelo menos, 2012. Uma nova campanha ofensiva multietapas afiliada ao Kimsuky, rastreada como DEEP#GOSU, ganha as manchetes, representando ameaças para usuários de Windows e aproveitando malwares PowerShell e VBScript para infectar sistemas-alvo.
Detectar Campanha de Ataque DEEP#GOSU
O ano passado foi marcado por uma intensificação significativa da atividade de atores APT, o que reflete a influência direta das tensões geopolíticas existentes no domínio cibernético. Desta vez, especialistas em cibersegurança alertam organizações e usuários individuais sobre uma campanha maliciosa em andamento pelo infame grupo Kimsuky APT, que tem como alvo crescente usuários de Windows para obter acesso furtivo extenso ao ambiente durante a operação DEEP#GOSU.
Para se manterem proativos e identificar possíveis intrusões nos estágios mais iniciais de seu desenvolvimento, os defensores cibernéticos necessitam de soluções avançadas de detecção e caça de ameaças combinadas com algoritmos de detecção baseados em comportamento que abordem as TTPs adversárias. A Plataforma SOC Prime para defesa cibernética coletiva oferece uma ampla coleção de ferramentas de ponta para potencializar sua investigação de ameaças enquanto agrega um conjunto dedicado de detecção voltado para a detecção DEEP#GOSU.
Clique no botão Explorar Detecções abaixo e imediatamente acesse uma coleção de regras Sigma relevantes compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake. Todas as regras estão mapeadas para MITRE ATT&CK v14.1 e acompanhadas por inteligência de ameaças detalhada juntamente com metadados extensos.
Para ajudar os profissionais de segurança a se manterem à frente dos ataques lançados pelo grupo Kimsuky APT, a Plataforma SOC Prime agrega uma seleção mais ampla de regras cobrindo atividades maliciosas associadas ao ator de ameaça em destaque. Basta pesquisar no Marketplace de Detecção de Ameaças pela tag ‘Kimsuky’ com base no identificador do grupo ou seguir este link.
Análise da Campanha de Malware DEEP#GOSU
A equipe de Pesquisa de Ameaças da Securonix recentemente lançou luz sobre a operação ofensiva em andamento identificada como DEEP#GOSU, que é altamente provável estar ligada ao infame grupo norte-coreano Kimsuky . Os atores de ameaça afiliados foram observados em múltiplas campanhas direcionadas contra a Coreia do Sul com forte foco em atividades de ciberespião.
Na campanha mais recente, os adversários utilizam uma nova cadeia de ataque sofisticada baseada em script, empregando múltiplas fases de PowerShell e VBScript para infiltrar-se secretamente em sistemas Windows e coletar dados sensíveis. As capacidades ofensivas envolvem exfiltração de dados, registro de teclas, monitoramento da área de transferência e execução dinâmica de carga útil. Os adversários mantêm persistência através de tarefas agendadas e empregam scripts PowerShell autoiniciais e software RAT para obter controle remoto completo.
Notavelmente, o processo de infecção depende de serviços legítimos como Dropbox ou Google Docs para C2, permitindo que os adversários disfarcem suas operações maliciosas dentro do tráfego de rede normal, evitando a detecção. Além disso, o uso desses serviços de nuvem para hospedar as cargas facilita a atualização da funcionalidade do malware ou a entrega de módulos suplementares.
A cadeia de infecção é desencadeada pela abertura de um anexo de e-mail armado com um arquivo ZIP. Este último contém um arquivo de atalho enganoso disfarçado de arquivo PDF. O arquivo LNK malicioso vem embutido com um script PowerShell junto com um documento PDF de isca. O script se comunica com uma infraestrutura do Dropbox controlada por atacantes para buscar e executar outro script PowerShell.
O script PowerShell subsequente recupera outro arquivo do Dropbox. Este último é um assembly .NET em forma binária sendo um RAT de código aberto chamado TruRat (também conhecido como TutRat ou C# R.A.T.). Além desse malware, o script PowerShell também recupera um arquivo VBScript nocivo, que se destina a executar comandos no sistema comprometido e estabelecer tarefas agendadas para manter a persistência.
Além disso, o VBScript utilizado nesta campanha de malware abusa do Google Docs para buscar dinamicamente dados de configuração para a conexão com o Dropbox. Isso permite que os adversários modifiquem as informações da conta sem alterar o script diretamente. O script PowerShell baixado pode coletar informações abrangentes do sistema e enviar esses dados via uma solicitação POST para o Dropbox para exfiltração. Ele funciona como uma porta dos fundos, garantindo controle sobre os hosts comprometidos enquanto registra continuamente a atividade do usuário.
Para minimizar os riscos e impactos do malware furtivo usado na sofisticada campanha DEEP#GOSU e preemptivamente impedir ameaças semelhantes, os defensores recomendam aplicar as melhores práticas de segurança, como evitar baixar arquivos ou anexos de fontes externas, monitorar continuamente o ambiente em busca de atividade suspeita e aprimorar a cobertura de detecção.
Com o aumento significativo de ataques sofisticados pelo grupo Kimsuky APT, representando uma potencial ameaça para organizações em múltiplos setores da indústria, incluindo entidades governamentais, os defensores estão buscando maneiras de implementar estratégias de cibersegurança preemptivas para impedir pontualmente intrusões direcionadas de APT. Aproveitando o Detetive de Ataques da SOC Prime, os engenheiros de segurança podem elevar a postura de cibersegurança da organização identificando pontualmente pontos cegos na defesa cibernética, identificando dados adequados para coletar a fim de abordar essas lacunas e otimizar o ROI de SIEM enquanto priorizam procedimentos de detecção antes que os adversários tenham a chance de atacar.
