El grupo de estado-nación de Corea del Norte, Kimusky, ha sido vinculado a un nuevo conjunto de actividades maliciosas dirigidas contra entidades políticas y diplomáticas ubicadas en su contraparte del sur a principios de 2022.
La firma rusa de ciberseguridad Kaspersky nombró en código al clúster Dragón Doradocon cadenas de infección que conducen a la implementación de malware de Windows diseñado para listas de archivos, pulsaciones de teclas de usuarios y credenciales de inicio de sesión de navegador web almacenadas.
Entre las posibles víctimas se incluyen profesores universitarios de Corea del Sur, investigadores de grupos de expertos y funcionarios gubernamentales.
Kimsuky, también conocido como Black Banshee, Thallium y Velvet Chollima, es el nombre que se le da a un prolífico grupo de amenazas persistentes avanzadas (APT) de Corea del Norte que apunta a entidades a nivel mundial, pero con un enfoque principal en Corea del Sur, para obtener inteligencia sobre varios temas. de interés para el régimen.
Conocido por operar desde 2012, el grupo tiene un historial de emplear tácticas de ingeniería social, phishing y ataques de abrevadero para exfiltrar la información deseada de las víctimas.
A fines del mes pasado, la firma de seguridad cibernética Volexity atribuyó al actor a una misión de recopilación de inteligencia diseñada para desviar contenido de correo electrónico de Gmail y AOL a través de una extensión maliciosa del navegador Chrome denominada Sharpext.
La última campaña sigue un modus operandi similar en el que la secuencia de ataque se inicia a través de mensajes de phishing selectivo que contienen documentos de Microsoft Word macroincrustados que supuestamente presentan contenido relacionado con problemas geopolíticos en la región.
También se dice que las rutas de acceso inicial alternativas aprovechan los archivos de la aplicación HTML (HTA) y la ayuda HTML compilada (CHM) como señuelos para comprometer el sistema.
Independientemente del método utilizado, el acceso inicial es seguido por la eliminación de una secuencia de comandos de Visual Basic desde un servidor remoto que está orquestado para tomar huellas dactilares de la máquina y recuperar cargas útiles adicionales, incluido un ejecutable capaz de filtrar información confidencial.
Lo novedoso del ataque es la transmisión de la dirección de correo electrónico de la víctima al servidor de comando y control (C2) en caso de que el destinatario haga clic en un enlace del correo electrónico para descargar documentos adicionales. Si la solicitud no contiene una dirección de correo electrónico esperada, se devuelve un documento benigno.
Para complicar aún más la cadena de eliminación, el servidor C2 de la primera etapa reenvía la dirección IP de la víctima a otro servidor VBS, que luego la compara con una solicitud entrante que se genera después de que el objetivo abre el documento del señuelo.
La «metodología de verificación de víctimas» en los dos servidores C2 garantiza que el VBScript se entregue solo cuando las verificaciones de la dirección IP sean exitosas, lo que indica un enfoque altamente específico.
«El grupo Kimsuky desarrolla continuamente sus esquemas de infección de malware y adopta técnicas novedosas para dificultar el análisis», dijo el investigador de Kaspersky, Seongsu Park. “La principal dificultad para rastrear a este grupo es que es difícil adquirir una cadena de infección completa”.