Kimsuky, un gruppo di minaccia persistente avanzata (APT) nordcoreano, è stato osservato utilizzare un malware personalizzato chiamato RandomQuery come parte di un’operazione di ricognizione e di esfiltrazione di informazioni. Secondo i ricercatori di SentinelOne, l’attacco è principalmente rivolto ai servizi informativi e alle organizzazioni che sostengono gli attivisti dei diritti umani e i disertori nordcoreani.
Kimsuky è attivo dal 2012 ed è stato osservato utilizzare una varietà di malware, tra cui un altro programma di ricognizione chiamato ReconShark. L’ultimo cluster di attività associato al gruppo è iniziato il 5 maggio 2023 e sfrutta una variante di RandomQuery progettata per elencare i file e aspirare i dati sensibili.
RandomQuery, FlowerPower e AppleSeed sono alcuni degli strumenti più diffusi nell’arsenale del gruppo APT. Gli attacchi iniziano con e-mail di phishing che contengono un file Microsoft Compiled HTML Help (CHM). Questo tipo di file è stato adottato anche come esca da un altro attore statale nordcoreano noto come ScarCruft.
Una volta aperto il file CHM, viene eseguito uno script Visual Basic, che emette una richiesta HTTP GET a un server remoto per recuperare il payload di secondo livello, una variante VBScript di RandomQuery. Il malware prosegue quindi con l’estrazione di metadati di sistema, processi in esecuzione, applicazioni installate e file da diverse cartelle, che vengono quindi trasmessi al server di comando e controllo (C2).
I ricercatori hanno notato che l’approccio coerente di Kimsuky di consegnare malware tramite file CHM evidenzia il panorama in continua evoluzione dei gruppi di minaccia nordcoreani, il cui mandato non comprende solo lo spionaggio politico ma anche il sabotaggio e le minacce finanziarie. Inoltre, al gruppo APT è anche stato collegato attacchi che utilizzano server vulnerabili Windows Internet Information Services (IIS) per scaricare il framework di post-exploitation Metasploit Meterpreter.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.