Detecção da Campanha APT Kimsuky Alvejando Organizações Japonesas
Índice:
Desde o início da primavera de 2024, o notório coletivo de hackers vinculado à Coreia do Norte rastreado como Kimsuky APT tem lançado uma campanha direcionada contra instituições acadêmicas sul-coreanas. Defensores também revelaram as operações ofensivas do grupo, que visam ativamente organizações japonesas. A campanha adversária em andamento depende de um vetor de ataque de phishing, com hackers utilizando e-mails direcionados que disfarçam o remetente como uma agência de segurança ou diplomática.
Detectar Ataques Kimsuky Alvejando o Japão
O grupo Kimsuky APT da Coreia do Norte está aumentando o volume e a sofisticação de seus ataques, particularmente no Leste Asiático. Continuamente aprimorando seu kit de ferramentas maliciosas, a recente campanha do Kimsuky usou a extensão TRANSLATEXT do Chrome para roubo de dados e introduziu uma nova backdoor Linux chamada Gomir para alvejar organizações na Coreia do Sul e países vizinhos.
Recentemente, pesquisadores de segurança descobriram outra campanha do Kimsuky alvejando ativamente o Japão, usando uma cadeia de infecção complexa para infiltrar redes de interesse. Para se manter atualizado sobre os ataques associados, a Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de detecções elaboradas abordando as TTPs usadas por adversários nesta campanha.
Basta pressionar o botão Explorar Detecções abaixo e investigar imediatamente um conjunto de regras Sigma dedicadas. Todas as regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, as detecções são enriquecidas com metadados extensivos, incluindo referências de inteligência de ameaças, cronogramas de ataques e recomendações de triagem para facilitar a investigação de ameaças.
Os profissionais de segurança que desejam analisar as TTPs do Kimsuky com mais detalhes podem encontrar conteúdo de detecção adicional procurando o Threat Detection Marketplace com a tag “Kimsuky” ou seguindo este link para acessar todas as regras associadas ao coletivo de hackers.
Kimsuky Atacando Organizações Japonesas: Uma Análise de Campanha
Em março de 2024, o JPCERT/CC descobriu uma nova atividade maliciosa pelo infame grupo Kimsuky APT, que tem organizações japonesas entre seus alvos principais. Além da campanha ofensiva contra o setor acadêmico sul-coreano,os hackers do Kimsuky têm atacado organizações do Japão usando arquivos EXE e DOCX enviados via um vetor de ataque de phishing, visando roubar dados sensíveis de dispositivos comprometidos.
O fluxo de infecção é desencadeado por um e-mail de spear-phishing se passando por uma organização de segurança e diplomática. O e-mail acompanha um arquivo de pacote com arquivos armados contendo extensões duplas, junto com um grande número de espaços em cada nome de arquivo para esconder a extensão. Uma vez executado, o arquivo EXE principal leva ao download de um arquivo VBS de uma fonte externa, que então é executado usando wscript.exe. O arquivo VBS, por sua vez, faz o download de um script PowerShell de uma fonte externa e invoca a função PokDoc. O mesmo arquivo VBS malicioso assegura a persistência configurando a chave Run do registro para executar automaticamente o arquivo oculto a cada inicialização do sistema.
O PowerShell baixado pelo arquivo VBS serve como keylogger e destina-se a roubar dados dos dispositivos-alvo, incluindo detalhes do sistema e da rede, a lista de arquivos em pastas específicas do usuário e dados de contas de usuário. Os adversários enviam os dados roubados a uma URL predefinida para verificar se o ambiente de execução é um sistema sandbox ou de análise. Além disso, o script cria outro arquivo VBS em um diretório público. Uma vez executado, faz o download de código PowerShell adicional e chama uma função InfoKey com um parâmetro específico, facilitando a evasão de detecção e ajudando os atacantes a manter uma persistência sorrateira.
À medida que o Kimsuky continuamente experimenta novas capacidades ofensivas para contornar medidas de segurança e permanecer fora do radar enquanto aumenta a sofisticação de seus ataques em andamento, é imperativo que as organizações aumentem a vigilância cibernética. O conjunto completo de produtos da SOC Prime para Engenharia de Detecção impulsionada por IA, Caça de Ameaças Automatizada e Validação da Pilha de Detecção equipa as equipes de segurança com soluções inovadoras para uma defesa cibernética proativa que minimiza os riscos de ameaças emergentes mais desafiadoras para a organização.
