Kimsuky, un grup de amenaça persistent avançada (APT) nord-coreà, s’ha observat utilitzant un malware personalitzat anomenat RandomQuery com a part d’una operació de reconeixement i exfiliació d’informació. Segons els investigadors de SentinelOne, l’atac està principalment dirigit als serveis d’informació i les organitzacions que recolzen els activistes dels drets humans i els desertors nord-coreans.
Kimsuky ha estat actiu des de 2012 i s’ha observat utilitzant una àmplia gamma de malware, inclòs un altre programa de reconeixement anomenat ReconShark. El darrer cluster d’activitat associat al grup va començar el 5 de maig de 2023 i aprofitava una variant de RandomQuery dissenyada per enumerar fitxers i xuclar dades sensibles.
RandomQuery, FlowerPower i AppleSeed són alguns dels instruments més distribuïts a l’arsenal de l’APT del grup. Els atacs comencen amb correus electrònics de phishing que contenen un fitxer Microsoft Compiled HTML Help (CHM). Aquest tipus de fitxer també s’ha adoptat com una temptació per un altre actor d’estat nord-coreà conegut com a ScarCruft.
Una vegada s’obre el fitxer CHM, s’executa un script de Visual Basic, que emet una sol·licitud HTTP GET a un servidor remot per recuperar la càrrega de segon nivell, una variant de VBScript de RandomQuery. El malware després procedeix a recollir metadades del sistema, processos en execució, aplicacions instal·lades i fitxers de diferents carpetes, que després són transmesos al servidor de comandament i control (C2).
Els investigadors van assenyalar que l’enfocament consistent de Kimsuky per lliurar malware a través de fitxers CHM destaca el paisatge canviant dels grups de amenaces nord-coreans, els quals no només abasten l’espionatge polític, sinó també el sabotatge i les amenaces financeres. A més, l’APT del grup també s’ha relacionat amb atacs que armen servidors vulnerables de Windows Internet Information Services (IIS) per deixar el marc de post-explotació Metasploit Meterpreter.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.