El actor de amenazas patrocinado por el estado de Corea del Norte conocido como kimsuky ha sido descubierto usando una nueva herramienta de reconocimiento llamada ReconShark como parte de una campaña mundial en curso.
«[ReconShark] se entrega de forma activa a individuos específicos a través de correos electrónicos de phishing, enlaces de OneDrive que conducen a la descarga de documentos y la ejecución de macros maliciosas», los investigadores de SentinelOne, Tom Hegel y Aleksandar Milenkoski. dicho.
Kimsuky también es conocido por los nombres APT43, ARCHIPELAGO, Black Banshee, Nickel Kimball, Emerald Sleet (anteriormente Thallium) y Velvet Chollima.
Activo desde al menos 2012, el prolífico El actor de amenazas se ha relacionado con ataques dirigidos a organizaciones no gubernamentales (ONG), grupos de expertos, agencias diplomáticas, organizaciones militares, grupos económicos y entidades de investigación en América del Norte, Asia y Europa.
El último conjunto de intrusiones documentado por SentinelOne aprovecha temas geopolíticos relacionados con la proliferación nuclear de Corea del Norte para activar la secuencia de infección.
«Notablemente, los correos electrónicos de phishing selectivo están hechos con un nivel de calidad de diseño ajustado para individuos específicos, lo que aumenta la probabilidad de que el objetivo los abra», dijeron los investigadores. «Esto incluye el formato adecuado, la gramática y las pistas visuales, que parecen legítimos para los usuarios desprevenidos».
Estos mensajes contienen enlaces a documentos de Microsoft Word con trampas explosivas alojados en OneDrive para implementar ReconShark, que funciona principalmente como una herramienta de reconocimiento para ejecutar instrucciones enviadas desde un servidor controlado por actores. También es una evolución del conjunto de herramientas de malware BabyShark del actor de amenazas.
«Exfiltra la información del sistema al servidor C2, mantiene la persistencia en el sistema y espera más instrucciones del operador», Palo Alto Networks Unit 42 dicho en su análisis de BabyShark en febrero de 2019.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
ReconShark está diseñado específicamente para filtrar detalles sobre procesos en ejecución, mecanismos de detección implementados e información de hardware, lo que sugiere que los datos recopilados de la herramienta se utilizan para llevar a cabo «ataques de precisión» que involucran malware adaptado al entorno objetivo de una manera que elude la detección.
El malware también es capaz de implementar cargas útiles adicionales desde el servidor en función de «qué procesos de mecanismo de detección se ejecutan en las máquinas infectadas».
Los hallazgos se suman a la creciente evidencia de que el actor de amenazas está cambiando activamente sus tácticas para afianzarse en los hosts comprometidos, establecer la persistencia y recopilar inteligencia sigilosamente durante períodos prolongados.
“Los ataques en curso de Kimsuky y su uso de la nueva herramienta de reconocimiento, ReconShark, resaltan la naturaleza evolutiva del panorama de amenazas de Corea del Norte”, dijo SentinelOne.