O grupo de ameaça norte-coreano conhecido como Kimsuky foi observado implantando um malware inédito baseado na linguagem Golang chamado Durian como parte de ataques cibernéticos altamente direcionados a duas empresas sul-coreanas de criptomoedas.
O Durian possui funcionalidade abrangente de backdoor, permitindo a execução de comandos entregues, downloads adicionais de arquivos e exfiltração de arquivos, de acordo com o relatório de tendências APT da Kaspersky para o primeiro trimestre de 2024.
Os ataques, que ocorreram em agosto e novembro de 2023, envolveram o uso de software legítimo exclusivo da Coreia do Sul como caminho de infecção, embora o mecanismo preciso usado para manipular o programa ainda não esteja claro.
Sabe-se que o software estabelece uma conexão com o servidor do atacante, levando à recuperação de um payload malicioso que inicia a sequência de infecção.
A primeira etapa serve como instalador para malware adicional e um meio de estabelecer persistência no host. Também abre caminho para um malware de carga útil que eventualmente executa o Durian.
O Durian, por sua vez, é utilizado para introduzir mais malware, incluindo AppleSeed, a backdoor de escolha do Kimsuky, uma ferramenta proxy personalizada conhecida como LazyLoad, bem como outras ferramentas legítimas como ngrok e Chrome Remote Desktop.
“Por fim, os atores implantaram o malware para roubar dados armazenados no navegador, incluindo cookies e credenciais de login”, disse a Kaspersky.
Um aspecto notável do ataque é o uso do LazyLoad, que já foi utilizado anteriormente pelo Andariel, um sub-cluster dentro do Lazarus Group, levantando a possibilidade de uma colaboração potencial ou uma sobreposição tática entre os dois grupos de ameaças.
O grupo Kimsuky é conhecido por estar ativo desde pelo menos 2012, com suas atividades cibernéticas maliciosas também monitoradas sob os nomes APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima.
Ele é avaliado como um elemento subordinado ao 63º Centro de Pesquisa, um departamento dentro da Reconnaissance General Bureau (RGB), a principal organização de inteligência militar do reino eremita.
“Missão principal dos atores da Kimsuky é fornecer dados roubados e insights geopolíticos valiosos ao regime norte-coreano comprometendo analistas de políticas e outros especialistas”, disse o FBI e a NSA em um alerta mais cedo neste mês.
“As compromisso bem-sucedidos permitem ainda mais que os atores da Kimsuky criem e-mails de spear-phishing mais credíveis e eficazes, que então podem ser alavancados contra alvos mais sensíveis e de maior valor.”
O adversário do estado-nação também foi vinculado a campanhas de spear-phishing que entregam um trojan de acesso remoto baseado em C# e um ladrão de informações chamado TutorialRAT (também conhecido como TutRAT) que utiliza o Dropbox como “base para seus ataques para evitar a monitorização de ameaças”, disse a Symantec, da Broadcom.
“Esta campanha parece ser uma extensão da campanha de ameaça BabyShark da APT43 e emprega técnicas de spear-phishing típicas, incluindo o uso de arquivos de atalho (LNK)”, acrescentou.
O desenvolvimento ocorre enquanto o Centro de Inteligência de Segurança da AhnLab (ASEC) detalhou uma campanha orquestrada por outro grupo de hackers patrocinado pelo Estado norte-coreano chamado ScarCruft que está mirando usuários sul-coreanos com arquivos de atalho do Windows (LNK) que culminam na implantação do RokRAT.
O coletivo adversarial, também conhecido como APT37, InkySquid, RedEyes, Ricochet Chollima e Ruby Sleet, é dito estar alinhado com o Ministério da Segurança Estatal (MSS) da Coreia do Norte e encarregado de reunir inteligência secreta em apoio aos interesses militares, políticos e econômicos estratégicos da nação.
“Os arquivos de atalho recentemente confirmados (*.LNK) são encontrados para estar visando usuários sul-coreanos, particularmente aqueles relacionados à Coreia do Norte”, disse a ASEC.
Se achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.