El grupo de amenazas persistentes avanzadas (APT) de Corea del Norte conocido como kimsuky ha sido observado usando una pieza de malware personalizado llamado RandomQuery como parte de una operación de reconocimiento y exfiltración de información.
“Últimamente, Kimsuky ha estado distribuyendo constantemente malware personalizado como parte de campañas de reconocimiento para permitir ataques posteriores”, los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. dicho en un informe publicado hoy.
La campaña dirigida en curso, según la firma de seguridad cibernética, está dirigida principalmente a los servicios de información, así como a las organizaciones que apoyan a los activistas de derechos humanos y a los desertores de Corea del Norte.
Kimsuky, activo desde 2012, ha exhibido patrones de focalización que se alinean con los mandatos y prioridades operativos de Corea del Norte.
Las misiones de recopilación de inteligencia han implicado el uso de un conjunto diverso de malware, incluido otro programa de reconocimiento llamado ReconShark, como lo detalló SentinelOne a principios de este mes.
El último grupo de actividad asociado con el grupo comenzó el 5 de mayo de 2023 y aprovecha una variante de RandomQuery que está específicamente diseñada para enumerar archivos y desviar datos confidenciales.
RandomQuery, junto con FlowerPower y AppleSeed, se encuentran entre los mayoría frecuentemente distribuido herramientas en el arsenal de Kimsuky, con el primero funcionando como un ladrón de información y un conducto para distribuir troyanos de acceso remoto como TutRAT y xRAT.
Los ataques comienzan con correos electrónicos de phishing que pretenden ser de Daily NK, una destacada publicación en línea con sede en Seúl que cubre los asuntos de Corea del Norte, para atraer a los objetivos potenciales a abrir un archivo de Ayuda HTML Compilado (CHM) de Microsoft.
Vale la pena señalar en esta etapa que los archivos CHM también han sido adoptados como un señuelo por otro actor del estado-nación de Corea del Norte conocido como ScarCruft.
Lanzar el archivo CHM conduce a la ejecución de un Visual Basic Script que emite una solicitud HTTP GET a un servidor remoto para recuperar la carga útil de la segunda etapa, una variante de VBScript de RandomQuery.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Luego, el malware procede a recopilar metadatos del sistema, procesos en ejecución, aplicaciones instaladas y archivos de diferentes carpetas, todo lo cual se transmite de regreso al servidor de comando y control (C2).
“Esta campaña también demuestra el enfoque consistente del grupo de entregar malware a través de archivos CHM”, dijeron los investigadores.
“Estos incidentes ponen de relieve el panorama en constante cambio de los grupos de amenaza de Corea del Norte, cuyo cometido no solo abarca el espionaje político, sino también el sabotaje y las amenazas financieras”.
Los hallazgos llegan días después del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC) descubierto un ataque de pozo de agua montado por Kimsuky que implica la creación de un sistema de correo web similar al utilizado por los institutos de investigación de políticas nacionales para recolectar las credenciales ingresadas por las víctimas.
En un desarrollo relacionado, Kimsuky también ha sido vinculado a ataques que arman los servidores vulnerables de Windows Internet Information Services (IIS) para eliminar el marco de trabajo posterior a la explotación de Metasploit Meterpreter, que luego se usa para implementar un malware proxy basado en Go.