Kimsuky, un grupo de amenazas avanzadas persistentes (APT) de Corea del Norte, ha sido observado usando un malware personalizado llamado RandomQuery como parte de una operación de reconocimiento y exfiltración de información. Según los investigadores de SentinelOne, el ataque está principalmente dirigido a los servicios de información y organizaciones que apoyan a los activistas de derechos humanos y a los desertores de Corea del Norte.
Kimsuky ha estado activo desde 2012 y ha sido observado usando una diversa gama de malware, incluido otro programa de reconocimiento llamado ReconShark. El último cluster de actividad asociado al grupo comenzó el 5 de mayo de 2023 y utiliza una variante de RandomQuery diseñada para enumerar archivos y succionar datos sensibles.
RandomQuery, FlowerPower y AppleSeed son algunas de las herramientas más distribuidas en el arsenal del grupo APT. Los ataques comienzan con correos electrónicos de phishing que contienen un archivo de ayuda de HTML compilado de Microsoft (CHM). Este tipo de archivo también ha sido adoptado como señuelo por otro actor de estado nacional de Corea del Norte conocido como ScarCruft.
Una vez que se abre el archivo CHM, se ejecuta un script de Visual Basic, que emite una solicitud HTTP GET a un servidor remoto para recuperar la carga útil de segunda etapa, una versión de VBScript de RandomQuery. El malware luego procede a recolectar metadatos del sistema, procesos en ejecución, aplicaciones instaladas y archivos de diferentes carpetas, que luego son transmitidos de nuevo al servidor de comando y control (C2).
Los investigadores señalaron que el enfoque consistente de Kimsuky de entregar malware a través de archivos CHM destaca el cambiante panorama de los grupos de amenazas de Corea del Norte, cuyo mandato no solo abarca el espionaje político, sino también el sabotaje y las amenazas financieras. Además, el grupo APT también se ha vinculado a ataques que arman servidores vulnerables de Windows Internet Information Services (IIS) para descargar el marco de explotación post-explotación Metasploit Meterpreter.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.