.
A notória gangue de crimes cibernéticos Kimsuky da Coreia do Norte iniciou uma campanha usando novas táticas, de acordo com o fornecedor de ferramentas de segurança da informação Rapid7.
Uma postagem de quarta-feira explica que a tripulação – também conhecida como Black Banshee, Thallium, APT 43 e Velvet Chollima – tem uma longa história de tentativa de obter informações de agências governamentais e grupos de reflexão, provavelmente para reunir informações que o regime de Kim Jong Un possa achar valioso.
A tática favorita de Kimsuky é o spear phishing, às vezes após um longo esforço de engenharia social de correspondentes que se passam por acadêmicos ou pela mídia. Em ataques anteriores, as vítimas enviaram um questionário carregado de malware.
Rapid7 não tem certeza de como a gangue distribui seu ataque mais recente, mas está confiante de que a carga útil inclui arquivos de ajuda HTML compilados da Microsoft (CHM) envenenados, juntamente com arquivos ISO, VHD, ZIP e RAR.
Os arquivos CHM podem incluir texto, imagens e hiperlinks. Kimsuky provavelmente está mais interessado neles porque podem executar JavaScript.
Os pesquisadores do Rapid7 abriram um dos arquivos CHM que acreditam ser obra de Kimsuky e encontraram “um exemplo de uso de HTML e ActiveX para executar comandos arbitrários em uma máquina Windows, normalmente para fins maliciosos”.
O propósito malicioso neste caso é instalar um VBScript e modificar o registro do Windows para garantir que os scripts da turma sejam executados na inicialização do sistema.
O script coleta informações sobre a máquina da vítima, os processos que ela está executando, bem como arquivos recentes do Word e, em seguida, lista os diretórios e seu conteúdo.
A postagem do Rapid7 detalha outras técnicas usadas para instalar infostealers – novamente usando arquivos CHM.
A empresa possui indicadores detalhados de comprometimento aqui.
O cientista-chefe do Rapid7, Raj Samani, disse Strong The One sua equipe tem confiança moderada de que essa técnica é obra de Kimsuky e que o alvo da campanha é a Coreia do Sul – uma afirmação apoiada por muitos nomes de arquivos em coreano encontrados na carga útil.
Samani, no entanto, acredita que o Kimsuky pode estar a espalhar-se para além dos seus territórios de caça habituais na Ásia. Ele observa que o Bundesamt für Sicherheit in der Informationstechnik da Alemanha – a agência federal de segurança da informação do país – lista Kimsuky como ativo dentro das fronteiras alemãs.
Strong The One disse a Samani que os arquivos CHM envenenados não são novos, o que ele reconheceu – mas respondeu apontando que eles podem ser um ponto cego nas defesas de algumas organizações.
“Estamos lidando com indivíduos inovadores e que entendem de defesas”, alertou.
Samani não tem certeza se Kimsuky tem uma meta específica para sua última campanha, mas sugeriu que a Rapid7 estará em posição de oferecer uma avaliação mais detalhada por volta de abril. ®
.
