Detecção de Nova Campanha do APT Kimsuky: Hackers Norte-Coreanos Utilizam Arquivos de Ajuda HTML Compilados da Microsoft em Ataques Cibernéticos Contínuos
Índice:
Logo após a campanha ofensiva DEEP#GOSU associada ao coletivo de hackers norte-coreano Kimsuky APT, o grupo volta a ser destaque ao mudar suas TTPs adversárias. Defensores observaram recentemente o uso de arquivos de Auxílio HTML Compilado da Microsoft (CHM) pelo Kimsuky para disseminar malware e coletar dados sensíveis de instâncias impactadas.
Detectar os Últimos Ataques do Kimsuky APT
Nos últimos meses, o Kimsuky APT tem estado contínuo sob os holofotes devido ao aumento do alcance e da sofisticação de suas campanhas. Representando uma ameaça significativa aos defensores cibernéticos globalmente, Kimsuky continuamente altera suas TTPs para alcançar objetivos maliciosos enquanto permanece despercebido.
Para se manter atualizado sobre possíveis ataques do Kimsuky, os profissionais de cibersegurança precisam de uma fonte confiável de conteúdo de detecção emparelhada com um conjunto de ferramentas de última geração para otimizar operações de segurança. A SOC Prime Platform para defesa cibernética coletiva oferece regras Sigma curadas abordando a mais recente campanha maliciosa do Kimsuky APT apoiada por soluções avançadas de caça e engenharia de detecção de ameaças.
Basta acessar Explorar Detecções e alcançar o vasto conjunto de detecção projetado para identificar as últimas TTPs do Kimsuky. Todas as detecções estão alinhadas com o MITRE ATT&CK® framework v14.1 e enriquecidas com metadata acionável e inteligência de ameaça curada.
Para capacitar os defensores a prevenir proativamente intrusões impostas pelo Kimsuky APT, a SOC Prime Platform agrega uma seleção mais ampla de algoritmos de detecção cobrindo atividade adversária relevante. Basta buscar Threat Detection Marketplace pela tag “Kimsuky” com base no identificador do grupo ou seguir este link.
Visão Geral da Atividade Kimsuky: O Que Está Por Trás da Última Campanha
Pesquisadores da Rapid7 observaram recentemente uma atividade nova atribuída ao notório grupo Kimsuky da Coreia do Norte. O coletivo de hackers, que tem estado no centro das atenções na arena de ameaças cibernéticas por mais de uma década, tem se concentrado principalmente em coleta de inteligência, com agências estatais sul-coreanas sendo seus principais alvos, junto com organizações na América do Norte, Ásia e Europa. Pesquisadores descobriram um playbook atualizado destacando os esforços do Kimsuky para escapar da detecção, o que aponta para uma mudança significativa e evolução nas TTPs do grupo.
O Kimsuky experimentou várias técnicas de ataque, mudando continuamente seu kit de ferramentas adversárias. Inicialmente, o grupo utilizou documentos do Office e arquivos ISO, enquanto no último ano, os adversários começaram a explorar arquivos de atalho. Por exemplo, na recente campanha chamada DEEP#GOSU, o Kimsuky aplicou arquivos LNK prejudiciais incorporados com scripts PowerShell que iniciaram uma cadeia de infecção. Na última campanha maliciosa, hackers norte-coreanos empregam arquivos de Auxílio HTML Compilado (CHM) para instalar malware e coletar dados inteligentes dos hosts comprometidos.
De acordo com a pesquisa, os atores do Kimsuky aproveitam arquivos CHM, que são distribuídos via arquivos ISO, VHD, ZIP ou RAR, permitindo que atores de ameaça evitem a detecção. Após a extração e abertura de um dos arquivos mencionados, é disparado um VBScript que estabelece persistência e conecta-se a um servidor remoto para recuperar uma carga subsequente, capaz de coletar e transmitir dados sensíveis. Embora inicialmente destinados para documentação de ajuda, os arquivos CHM têm sido cada vez mais armados por atacantes devido à sua capacidade de executar JavaScript ao serem abertos.
Os ataques contínuos do Kimsuky observados na campanha mais recente se concentram principalmente em organizações localizadas na Coreia do Sul. Pesquisadores também revelaram uma cadeia de infecção alternativa, que começa com um arquivo CHM que inicia a queda de arquivos batch capazes de colheita de informações e de um script PowerShell para estabelecer uma conexão com o servidor C2 e facilitar a transferência de dados.
O aumento do volume de ataques sofisticados ligados ao grupo de crimes cibernéticos Kimsuky e o contínuo avanço das técnicas adversárias do grupo encoraja os defensores a aumentar a resiliência cibernética e medidas proativas para minimizar os riscos de intrusões. Aproveitando o Detetive de Ataquesda SOC Prime, organizações voltadas para o futuro conseguem identificar pontualmente pontos cegos na defesa cibernética, abordá-los de maneira eficaz e priorizar procedimentos de detecção e caça para prevenir ataques que eles mais antecipam.
