O grupo de hackers ligado à Coreia do Norte foi atribuído a um novo ataque de engenharia social que utiliza contas fictícias do Facebook para direcionar a vírus através do Messenger e, por fim, realizar a entrega de malware.
“O ator da ameaça criou uma conta no Facebook com uma identidade falsa, disfarçada como um funcionário público trabalhando no campo dos direitos humanos da Coreia do Norte”, disse a empresa sul-coreana de cibersegurança Genians em um relatório publicado na semana passada.
A campanha de ataque em múltiplas etapas, que se passa por uma pessoa legítima, é projetada para mirar ativistas nos setores de direitos humanos da Coreia do Norte e anti-Coreia do Norte, observou o relatório.
A abordagem é uma saída da típica estratégia de spear-phishing baseada em e-mail, uma vez que utiliza a plataforma de redes sociais para abordar os alvos através do Facebook Messenger e enganá-los a abrir documentos aparentemente privados escritos pela persona.
Os documentos isca, hospedados no OneDrive, são documentos do Console Comum da Microsoft que se fazem passar por um ensaio ou conteúdo relacionado a uma cúpula trilateral entre Japão, Coreia do Sul e EUA – “Meu_Ensaio(prof).msc” ou “Entrevista_NZZ_Kohei Yamamoto.msc” – sendo este último carregado na plataforma VirusTotal em 5 de abril de 2024, do Japão.
Isso levanta a possibilidade de que a campanha possa estar orientada para a mira de pessoas específicas no Japão e na Coreia do Sul.
O uso de arquivos MSC para realizar o ataque é um sinal de que o Kimsuky está utilizando tipos de documentos incomuns para passar despercebido. Em uma tentativa adicional de aumentar a probabilidade de sucesso da infecção, o documento é disfarçado como um arquivo inofensivo do Word usando o ícone do processador de texto.
Caso uma vítima lance o arquivo MSC e consinta em abri-lo usando o Console de Gerenciamento Microsoft (MMC), é exibida uma tela de console contendo um documento do Word que, quando lançado, ativa a sequência de ataque.
Isso envolve a execução de um comando para estabelecer uma conexão com um servidor controlado por um adversário (“brandwizer.co.in”) para exibir um documento hospedado no Google Drive (“Ensaio sobre a Resolução das Reivindicações de Trabalho Forçado Coreano.docx”), enquanto instruções adicionais são executadas em segundo plano para estabelecer persistência e coletar informações de bateria e processos.
As informações coletadas são então exfiltradas para o servidor de comando e controle (C2), que também é capaz de colher endereços IP, strings de identificação de usuário e informações de horário das solicitações HTTP, e fornecer payloads relevantes conforme necessário.
Genians disse que algumas das táticas, técnicas e procedimentos (TTPs) adotados na campanha se sobrepõem com atividades anteriores do Kimsuky na disseminação de malware, como ReconShark, que foi detalhado pela SentinelOne em maio de 2023.
“No primeiro trimestre deste ano, os ataques de spear-phishing foram o método mais comum de ataques APT relatados na Coreia do Sul”, observou a empresa. “Embora não sejam comumente relatados, ataques ocultos através das redes sociais também estão ocorrendo”.
“Devido à sua natureza personalizada e individualizada, eles não são facilmente detectados por monitoramento de segurança e raramente são relatados externamente, mesmo que a vítima esteja ciente deles. Portanto, é muito importante detectar essas ameaças personalizadas em um estágio inicial”