O grupo de hackers Kimsuky, ligado à Coreia do Norte, foi atribuído a um novo ataque de engenharia social que utiliza contas fictícias no Facebook para atingir alvos via Messenger e, finalmente, entregar malware.
“A ameaça criou uma conta no Facebook com uma identidade falsa disfarçada de um oficial público que trabalha no campo dos direitos humanos norte-coreanos”, disse a empresa sul-coreana de cibersegurança Genians em um relatório publicado na semana passada.
A campanha de ataque em várias etapas, que impersonifica um indivíduo legítimo, tem como alvo ativistas nos setores de direitos humanos norte-coreanos e anti-Coreia do Norte, notou.
A abordagem é uma mudança da estratégia típica de spear-phishing baseada em e-mail, pois alavanca a plataforma de mídia social para abordar alvos através do Facebook Messenger e enganá-los para abrir documentos aparentemente privados escritos pela pessoa.
Os documentos de isca, hospedados no OneDrive, são um documento de Console Comum da Microsoft que se faz passar por um ensaio ou conteúdo relacionado a uma cúpula trilateral entre Japão, Coreia do Sul e Estados Unidos – “Meu_Ensaio(prof).msc” ou “Entrevista_NZZ_Kohei Yamamoto.msc” – com o último carregado na plataforma VirusTotal em 5 de abril de 2024, do Japão.
Isso levanta a possibilidade de que a campanha possa estar orientada para atingir pessoas específicas no Japão e na Coreia do Sul.
O uso de arquivos MSC para realizar o ataque é um sinal de que o Kimsuky está utilizando tipos de documento incomuns para passar despercebido. Em uma tentativa adicional de aumentar a probabilidade de sucesso da infecção, o documento é disfarçado como um arquivo Word inócuo usando o ícone do processador de texto.
Se a vítima abrir o arquivo MSC e consentir em abri-lo usando o Console de Gerenciamento do Microsoft (MMC), ela verá uma tela de console contendo um documento do Word que, quando iniciado, ativa a sequência de ataque.
Isso envolve executar um comando para estabelecer uma conexão com um servidor controlado pelo adversário (“brandwizer.co[.]in”) para exibir um documento hospedado no Google Drive (“Ensaio sobre a Resolução das Demandas Trabalhistas Forçadas Coreanas.docx”), enquanto instruções adicionais são executadas em segundo plano para configurar a persistência e coletar informações de bateria e processo.
As informações coletadas são então exfiltradas para o servidor de comando e controle (C2), que também é capaz de coletar endereços IP, strings de Agente do Usuário e informações de carimbo de data/hora das solicitações HTTP, e entregar payloads relevantes conforme necessário.
Genians disse que algumas das táticas, técnicas e procedimentos (TTPs) adotados na campanha se sobrepõem à atividade anterior do Kimsuky na disseminação de malware como o ReconShark, que foi detalhado pela SentinelOne em maio de 2023.
“No primeiro trimestre deste ano, os ataques de spear-phishing foram o método mais comum de ataques APT relatados na Coreia do Sul”, observou a empresa. “Embora não sejam comumente relatados, ataques ocultos via mídias sociais também estão ocorrendo.”
“Devido à sua natureza personalizada, eles não são facilmente detectados pelo monitoramento de segurança e raramente são relatados externamente, mesmo que a vítima esteja ciente deles. Portanto, é muito importante detectar essas ameaças personalizadas em um estágio inicial.”
