Ερευνητές ασφαλείας της Cybereason Nocturnus ανακάλυψαν νέα malware που χρησιμοποιούνται από hackers της Βόρειας Κορέας και επικεντρώνονται στην κλοπή πληροφοριών. Βασικοί στόχοι των malware είναι κατασκευαστές εμβολίων για τον COVID-19, αλλά και άλλοι οργανισμοί και επιχειρήσεις.
Σύμφωνα με τους ερευνητές, οι πρόσφατες επιθέσεις που εντοπίστηκαν, συνδέονται με τη hacking ομάδα Kimsuky, που χρηματοδοτείται από την κυβέρνηση της Βόρειας Κορέας. Οι επιθέσεις γίνονται κυρίως με τα BabyShark και AppleSeed malware, που στο παρελθόν είχαν αποδοθεί στη συγκεκριμένη ομάδα.
Τα νέα domains που δημιουργήθηκαν ως μέρος αυτών των επιθέσεων, συνδέονταν με την ίδια διεύθυνση IP που είναι υπεύθυνη για επιθέσεις με το BabyShark.
Ωστόσο, οι ερευνητές ανακάλυψαν και ένα νέο malware suite, το οποίο ονόμασαν “KGH“. Το “KGH” εξαπλώνεται μέσω μολυσμένων εγγράφων Word, που είναι συνημμένα σε phishing emails. Σύμφωνα με τους ερευνητές, το KGH περιέχει πολλές δυνατότητες spyware. Οι παραλήπτες ενθαρρύνονται να ανοίξουν το συνημμένο, το οποίο υποτίθεται ότι περιλαμβάνει είτε μια συνέντευξη με έναν αποστάτη της Βόρειας Κορέας είτε μια επιστολή που απευθύνεται στον πρώην πρωθυπουργό της Ιαπωνίας, Shinzo Abe.
Επίσης, το KGH περιλαμβάνει δυνατότητες κλοπής πληροφοριών και επιτρέπει τη συλλογή δεδομένων από προγράμματα περιήγησης, Windows Credential Manager, WINSCP και mail clients.
Επιπλέον, κατά την έρευνα, η Cybereason εντόπισε ένα νέο downloader, το “CSPY“, το οποίο διαθέτει ισχυρές τεχνικές αποφυγής της ανίχνευσης. Αυτές οι τεχνικές του επιτρέπουν να δει αν το malware εκτελείται σε εικονική μηχανή ή αν χρησιμοποιούνται εργαλεία ανάλυσης. Αν διαπιστωθεί ότι το “πεδίο είναι καθαρό”, θα αρχίσει να κατεβάζει δευτερεύοντα payloads.
Αφού γίνει η λήψη, τα payloads αφαιρούνται ή μετονομάζονται και το βασικό payload “μεταμφιέζεται” σε νόμιμη υπηρεσία των Windows και εκμεταλλεύεται μια γνωστή τεχνική παράκαμψης UAC, χρησιμοποιώντας το SilentCleanup task για την εκτέλεση του binary με αυξημένα προνόμια.
Οι hackers της Βόρειας Κορέας δεν στοχεύουν με malware μόνο τους κατασκευαστές εμβολίων για τον COVID-19. Σύμφωνα με το Infosecurity Magazine, η συγκεκριμένη ομάδα έχει στοχεύσει και το Συμβούλιο Ασφαλείας του ΟΗΕ, την κυβέρνηση της Νότιας Κορέας, ερευνητικά ιδρύματα, ομάδες προβληματισμού, δημοσιογράφους και στρατιωτικούς.