ΑρχικήsecurityΟι χάκερ Kimsuky χρησιμοποιούν νέα έκδοση του ReconShark malware

Οι χάκερ Kimsuky χρησιμοποιούν νέα έκδοση του ReconShark malware

Η βορειοκορεατική ομάδα hacking Kimsuky έχει παρατηρηθεί να χρησιμοποιεί μια νέα έκδοση του reconnaissance malware, που τώρα ονομάζεται “ReconShark”, σε μια εκστρατεία κυβερνοκατασκοπείας με παγκόσμια εμβέλεια.

Η Sentinel Labs αναφέρει ότι ο απειλητικός φορέας έχει επεκτείνει το πεδίο δράσης του, στοχεύοντας πλέον κυβερνητικούς οργανισμούς, ερευνητικά κέντρα, πανεπιστήμια και think tanks στις Ηνωμένες Πολιτείες, την Ευρώπη και την Ασία.

Δείτε επίσης: Τα data εκατομμυρίων ασθενών επιβεβαιώθηκε ότι κλάπηκαν μετά το Fortra hack

Τον Μάρτιο του 2023, οι αρχές της Νότιας Κορέας και της Γερμανίας προειδοποίησαν ότι η ομάδα Kimsuky, επίσης γνωστή ως Thallium και Velvet Chollima, είχε αρχίσει να διαδίδει κακόβουλες επεκτάσεις Chrome που στόχευαν λογαριασμούς Gmail, καθώς και ένα λογισμικό κατασκοπείας Android που χρησίμευε ως trojan απομακρυσμένης πρόσβασης.

Τον Αύγουστο του 2020, η Kaspersky αποκάλυψε μια άλλη εκστρατεία της Kimsuky που στόχευε πολιτικούς, διπλωμάτες, καθηγητές πανεπιστημίου και δημοσιογράφους στη Νότια Κορέα, χρησιμοποιώντας ένα σύστημα επικύρωσης στόχων σε πολλαπλά στάδια που εξασφάλιζε ότι μόνο έγκυροι στόχοι θα μολύνονταν με κακόβουλα ωφέλιμα φορτία.

Δείτε επίσης: Οι ομάδες ransomware μετατοπίζουν τις επιθέσεις τους σε μικρότερες εταιρείες

Phishing επίθεση

Η Kimsuky χρησιμοποιεί καλά σχεδιασμένα και εξατομικευμένα spear-phishing emails για να μολύνει τους στόχους της με το κακόβουλο λογισμικό ReconShark, μια τακτική που έχει παρατηρηθεί σε όλες τις προηγούμενες εκστρατείες της απειλητικής ομάδας.

Αυτά τα email περιέχουν έναν σύνδεσμο προς ένα κακόβουλο, προστατευμένο με κωδικό πρόσβασης έγγραφο που φιλοξενείται στο Microsoft OneDrive, προκειμένου να ελαχιστοποιηθούν οι πιθανότητες συναγερμού από τα εργαλεία ασφαλείας ηλεκτρονικού ταχυδρομείου.

Όταν ο στόχος ανοίξει το έγγραφο που κατέβασε και ενεργοποιήσει τις μακροεντολές, σύμφωνα με τις οδηγίες, θα ενεργοποιηθεί το ενσωματωμένο κακόβουλο λογισμικό ReconShark.

Αφού η Microsoft απενεργοποίησε τις μακροεντολές από προεπιλογή στα έγγραφα του Office που κατεβάζονταν, οι περισσότεροι απειλητικοί φορείς στράφηκαν σε νέους τύπους αρχείων για επιθέσεις phishing, όπως τα αρχεία ISO και πιο πρόσφατα τα έγγραφα OneNote.

Kimsuky

ReconShark

Οι αναλυτές της Sentinel Labs θεωρούν ότι το ReconShark αποτελεί εξέλιξη του κακόβουλου λογισμικού “BabyShark” του Kimsuky, το οποίο είχε επίσης αναπτυχθεί από την APT43, μια επικαλυπτόμενη βορειοκορεατική ομάδα κυβερνοκατασκοπείας που στοχεύει αμερικανικούς οργανισμούς.

Το ReconShark κάνει κατάχρηση του WMI για να συλλέγει πληροφορίες σχετικά με το μολυσμένο σύστημα, όπως εκτελούμενες διεργασίες και δεδομένα μπαταρίας.

Ελέγχει επίσης αν εκτελείται λογισμικό ασφαλείας στο μηχάνημα, με την Sentinel Labs να αναφέρει συγκεκριμένους ελέγχους για τα προϊόντα Kaspersky, Malwarebytes, Trend Micro και Norton Security.

Η διαρροή των δεδομένων αναγνώρισης είναι άμεση, με το κακόβουλο λογισμικό να στέλνει τα πάντα στον διακομιστή C2 μέσω αιτημάτων HTTP POST χωρίς να αποθηκεύει τίποτα τοπικά.

Μια άλλη δυνατότητα του ReconShark είναι να αντλεί πρόσθετα ωφέλιμα φορτία από το C2, τα οποία μπορούν να δώσουν στην ομάδα Kimsuky μια καλύτερη θέση στο μολυσμένο σύστημα.

Το στάδιο ανάπτυξης του ωφέλιμου φορτίου περιλαμβάνει την επεξεργασία των αρχείων συντόμευσης των Windows (LNK) που σχετίζονται με δημοφιλείς εφαρμογές, όπως ο Chrome, το Outlook, ο Firefox ή ο Edge, ώστε να εκτελείται το κακόβουλο λογισμικό όταν ο χρήστης εκκινεί μία από αυτές τις εφαρμογές.

Δείτε επίσης: NodeStealer: Το νέο κακόβουλο λογισμικό που ανακάλυψε το Facebook

Μια εναλλακτική μέθοδος είναι η αντικατάσταση του προεπιλεγμένου προτύπου του Microsoft Office, Normal.dotm, με μια κακόβουλη έκδοση που φιλοξενείται στον διακομιστή C2, έτσι ώστε να φορτώνεται κακόβουλος κώδικας κάθε φορά που ο χρήστης ξεκινά το Microsoft Word.

Και οι δύο τεχνικές προσφέρουν έναν αθόρυβο τρόπο για να διεισδύσουν βαθύτερα στο στοχευμένο σύστημα, να διατηρήσουν την ανθεκτικότητά τους και να εκτελέσουν πρόσθετα ωφέλιμα φορτία ή εντολές ως μέρος της επίθεσης πολλαπλών σταδίων του απειλητικού παράγοντα.

Το επίπεδο πολυπλοκότητας της Kimsuky και οι τακτικές που αλλάζουν μορφή θολώνουν τη γραμμή που διαχωρίζει τις επιχειρήσεις της από άλλες βορειοκορεατικές ομάδες που διεξάγουν ευρύτερες εκστρατείες, απαιτώντας αυξημένη επαγρύπνηση.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS