Detecção de Backdoor Gold Dragon: Hackers Kimsuky Atacam Novamente Usando Malware Gold Dragon

[post-views]
Março 25, 2022 · 4 min de leitura
Detecção de Backdoor Gold Dragon: Hackers Kimsuky Atacam Novamente Usando Malware Gold Dragon

A campanha de hacking mais recente do APT Kimsuky da Coreia do Norte foi lançada no final de janeiro de 2022 e ainda está em andamento. Desta vez, os hackers do Kimsuky estão armados com ferramentas de acesso remoto (RATs) de código aberto instaladas com o malware personalizado Gold Dragon.

Detectar Backdoor Gold Dragon

Para identificar que seu sistema foi comprometido com o malware Gold Dragon, use as seguintes regras fornecidas por nossos desenvolvedores especializados em Recompensa de Ameaça Furkan Celik and Osman Demir:

Detecção Quasar Gold Dragon (Fevereiro) (via evento de registro)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB e Open Distro.

A regra está alinhada com a estrutura MITRE ATT&CK® v.10 mais recente, abordando a tática de Persistência com Execução de Inicialização ou Logon Autostart como a técnica principal (T1547).

Atividade Suspeita de Atores de Ameaça Alvejando Empresas Especializadas em Emissões de Carbono (via criação de processo)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, AWS OpenSearch, Securonix e Open Distro.

A regra está alinhada com a estrutura MITRE ATT&CK® v.10 mais recente, abordando as táticas de Execução e Evasão de Defesa com Interprete de Comandos e Scripts (T1059), Execução de Proxy de Binário Assinado (T1218) como principais técnicas.

A lista completa de detecções associadas ao APT Kimsuky no repositório Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.

SOC Prime instiga profissionais de segurança a se unir contra ciberataques apoiados pela Rússia que acompanham a agressão militar contra a Ucrânia. O módulo Quick Hunt da SOC Prime permite navegar eficientemente por uma vasta coleção de conteúdo de caça a ameaças associado à agressão russa com as seguintes tags #stopwar, #stoprussian e #stoprussianagression. As consultas dedicadas de caça a ameaças estão disponíveis GRATUITAMENTE através do link abaixo, permitindo que as equipes busquem instantaneamente por ameaças relevantes:

Coleção completa de conteúdo de caça para detectar ameaças originadas na Rússia

Deseja conectar-se com líderes da indústria e desenvolver seu próprio conteúdo? Junte-se à iniciativa de crowdsourcing da SOC Prime como colaborador de conteúdo e compartilhe suas próprias regras Sigma e YARA com a comunidade global de cibersegurança enquanto fortalece a defesa cibernética colaborativa mundial.

Ver Detecções Juntar-se à Recompensa de Ameaça

Ataques do APT Kimsuky

Kimsuky, também conhecido como TA406, é um grupo APT ligado à Coreia do Norte ativo desde 2013. A campanha mais recente, que começou no final de janeiro, é caracterizada por hackers usando RATs de commodity em ataques direcionados contra organizações sul-coreanas. Utilizar RATs de commodity permite que os atores de ameaça concentrem seus esforços em gerar malware de estágio posterior que requer funcionalidades mais específicas com base nas ferramentas de proteção e nos procedimentos disponíveis na máquina infectada. Nos ataques mais recentes, os hackers distribuíram um arquivo adicional (“UnInstall_kr5829.co.in.exe”) com xRAT para apagar seus rastros no sistema comprometido.

De acordo com pesquisadores da ASEC, o Kimsuky usou uma variante do seu backdoor personalizado Gold Dragon. É um backdoor de segundo estágio instalado através do instalador exclusivo (“installer_sk5621.com.co.exe”). O instalador então cria uma nova entrada de registro para garantir a persistência da carga útil do malware (“glu32.dll”). A análise do Backdoor Gold Dragon mostra que os hackers o usam para baixar uma ferramenta xRAT para roubar manualmente os dados da máquina infectada.

Tempos drásticos exigem medidas drásticas! Una forças com a plataforma Detection as Code da SOC Prime para aprimorar suas capacidades de detecção de ameaças com o poder de uma comunidade global de especialistas em cibersegurança. Você também pode enriquecer a experiência colaborativa contribuindo para a iniciativa de crowdsourcing da SOC Prime. Escreva e envie suas regras Sigma e YARA, faça-as publicadas em uma plataforma e receba recompensas recorrentes por sua contribuição.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias