O grupo de hackers Kimsuky, ligado à Coreia do Norte, foi atribuído a um novo ataque de engenharia social que usa contas fictícias do Facebook para alcançar alvos via Messenger e, por fim, entregar malware.

“O ator da ameaça criou uma conta do Facebook com uma identidade falsa disfarçada de um funcionário público trabalhando no campo dos direitos humanos da Coreia do Norte,” disse a empresa sul-coreana de cibersegurança Genians em um relatório publicado na semana passada.

A campanha de ataque em várias etapas, que se passa por um indivíduo legítimo, foi projetada para visar ativistas nos setores de direitos humanos da Coreia do Norte e anti-Coreia do Norte, notou.

A abordagem difere da estratégia típica de spear-phishing baseada em e-mail, já que aproveita a plataforma de mídia social para abordar os alvos através do Facebook Messenger e os enganar a abrir documentos aparentemente privados escritos pela persona.

Os documentos de isca, hospedados no OneDrive, são um documento do Console Comum da Microsoft que se passa por um ensaio ou conteúdo relacionado a uma cúpula trilateral entre Japão, Coreia do Sul e os EUA – “Meu_Ensaio(prof).msc” ou “Entrevista_NZZ_Kohei Yamamoto.msc” – com o último carregado na plataforma VirusTotal em 5 de abril de 2024, do Japão.

Isso levanta a possibilidade de que a campanha possa estar orientada para segmentar pessoas específicas no Japão e na Coreia do Sul.

O uso de arquivos MSC para realizar o ataque é um sinal de que Kimsuky está utilizando tipos de documentos incomuns para passar despercebido. Em uma tentativa adicional de aumentar a probabilidade de sucesso da infecção, o documento é disfarçado como um arquivo Word inócuo usando o ícone do processador de texto.

Caso a vítima inicie o arquivo MSC e concorde em abri-lo usando o Console de Gerenciamento da Microsoft (MMC), uma tela de console é exibida contendo um documento do Word que, quando aberto, ativa a sequência de ataque.

Isso envolve a execução de um comando para estabelecer uma conexão com um servidor controlado pelo adversário (“brandwizer.co.in”) para exibir um documento hospedado no Google Drive (“Ensaio sobre a Resolução das Reivindicações de Trabalho Forçado Coreano.docx”), enquanto instruções adicionais são executadas em segundo plano para configurar a persistência, bem como coletar informações de bateria e processo.

As informações reunidas são então exfiltradas para o servidor de comando e controle (C2), que também é capaz de colher endereços IP, strings de User-Agent e informações de horário das solicitações HTTP, e entregar payloads relevantes conforme necessário.

Genians afirmou que algumas das táticas, técnicas e procedimentos (TTPs) adotados na campanha se sobrepõem a atividades anteriores da Kimsuky na disseminação de malware como o ReconShark, que foi detalhado pela SentinelOne em maio de 2023.

“No primeiro trimestre deste ano, os ataques de spear-phishing foram o método mais comum de ataques APT relatados na Coreia do Sul,” observou a empresa. “Embora não sejam comumente relatados, ataques furtivos via redes sociais também estão ocorrendo.”

“Devido à sua natureza personalizada e individualizada, não são facilmente detectados pelo monitoramento de segurança e raramente são relatados externamente, mesmo que a vítima esteja ciente deles. Portanto, é muito importante detectar essas ameaças personalizadas em um estágio inicial.”