Οι ΗΠΑ εξέδωσαν μια προειδοποίηση που παρέχει πληροφορίες σχετικά με τη hacking ομάδα Kimsuky. Πρόκειται για μια ομάδα που συνδέεται με την κυβέρνηση της Βόρειας Κορέας και επικεντρώνεται στη συγκέντρωση πληροφοριών.
Η προειδοποίηση εκδόθηκε από την CISA, το FBI και το CNMF και λέει ότι η hacking ομάδα δραστηριοποιείται τουλάχιστον από το 2012 και χρησιμοποιεί κυρίως τεχνικές, όπως το social engineering, το spear-phishing και οι watering hole επιθέσεις.
Σύμφωνα με την προειδοποίηση των ΗΠΑ, η ομάδα Kimsuky στοχεύει άτομα και οργανισμούς που βρίσκονται στην Ιαπωνία, τη Νότια Κορέα και τις Ηνωμένες Πολιτείες και επικεντρώνεται κυρίως στη συλλογή πληροφοριών σχετικά με “θέματα εξωτερικής πολιτικής και εθνικής ασφάλειας”. Γι’ αυτό το λόγο, οι στόχοι της δεν είναι τυχαίοι. Είναι άτομα, από τα οποία μπορεί να λάβει σημαντικές πληροφορίες για τέτοια θέματα.
Για την αρχική πρόσβαση, η Kimsuky χρησιμοποιεί spear-phishing emails με κακόβουλα συνημμένα, καθώς και διάφορες μεθόδους social engineering. Ωστόσο, οι hackers στέλνουν και κάποια μη κακόβουλα emails για να κερδίσουν την εμπιστοσύνη των θυμάτων. Κακόβουλα scripts και εργαλεία φιλοξενούνται σε υπηρεσίες χάρη στη χρήση κλεμμένων web hosting credentials.
Οι hackers της Kimsuky παρουσιάζονται στα θύματα ως δημοσιογράφοι της Νότιας Κορέας που θέλουν να πραγματοποιήσουν κάποιες συνεντεύξεις σχετικά με θέματα που αφορούν την Κορέα. Ένα από τα θύματα, που συμφώνησε να κάνει τη συνέντευξη, έλαβε ένα κακόβουλο έγγραφο (σε ένα επόμενο email), το οποίο μόλυνε τη συσκευή του με το BabyShark malware.
Τα spear-phishing emails των hackers της Βόρειας Κορέας προσαρμόστηκαν σε επίκαιρα θέματα που θα ενδιέφεραν το στόχο (τρέχουσα κρίση COVID-19, πυρηνικό πρόγραμμα της Βόρειας Κορέας και συνεντεύξεις στα μέσα ενημέρωσης).
Ωστόσο, σύμφωνα με τις ΗΠΑ, η hacking ομάδα χρησιμοποιεί και άλλες μεθόδους μόλυνσης των θυμάτων: watering hole επιθέσεις, διανομή malware μέσω torrent sharing sites και κακόβουλες browser επεκτάσεις.
Μετά την αρχική πρόσβαση, η Kimsuky χρησιμοποιεί το mshta.exe για να εκτελέσει ένα HTML application (HTA) file, το οποίο κατεβάζει και εκτελεί το κωδικοποιημένο αρχείο BabyShark VBS. Το script είναι σε θέση να συλλέξει πληροφορίες συστήματος και να τις στείλει στους command and control (C&C) servers των hackers.
Το 2018, κατά τη διάρκεια μιας εκστρατείας, γνωστής ως STOLEN PENCIL, η Kimsuky χρησιμοποίησε το GREASE malware, το οποίο προσθέτει έναν λογαριασμό διαχειριστή Windows και κάνει κατάχρηση του RDP για να παρέχει στους εισβολείς πρόσβαση στα παραβιασμένα συστήματα.
Για τη συλλογή πληροφοριών, η Kimsuky στοχεύει Hangul Word Processor (HWP) και Microsoft Office έγγραφα και χρησιμοποιεί web shells για μεταφόρτωση, λήψη και διαγραφή αρχείων.
Επιπλέον, οι hackers μπορούν να αποκτήσουν περισσότερα προνόμια στο παραβιασμένο σύστημα, χρησιμοποιώντας scripts που τοποθετούνται στο Startup folder, νέες υπηρεσίες και κακόβουλο κώδικα που εισάγεται στο explorer.exe Για παράδειγμα, το Win7Elevate exploit από το Metasploit framework χρησιμοποιήθηκε για την παράκαμψη του User Account Control και την εισαγωγή κακόβουλου κώδικα στο explorer.exe.
Σύμφωνα με το Securityweek, η CISA και το FBI μίλησαν και για τις μεθόδους που χρησιμοποιεί η Kimsuky για την αποφυγή των μηχανισμών άμυνας, τη χρήση διαφόρων εργαλείων για τη συλλογή credentials και τις επιθέσεις σε macOS συστήματα.
Τέλος, η προειδοποίηση τονίζει ότι οι δραστηριότητες της Kimsuky περιορίζονται στη συλλογή πληροφοριών και δεν έχουν καταστροφικό χαρακτήρα.