El actor de amenazas vinculado a Corea del Norte estuvo vinculado a una campaña antirrobo a gran escala dirigida a la investigación, la educación, el gobierno, los medios y otras organizaciones, y dos de los ataques también intentaron distribuir malware que podría usarse para recopilar inteligencia.
La firma de seguridad empresarial Proofpoint ha atribuido la infiltración al grupo al que rastrea como TA406 y a la comunidad de inteligencia más amplia bajo los apodos Kimsuky (Kaspersky), Velvet Chollima (CrowdStrike), Thallium (Microsoft), Black Banshee (PwC), ITG16 (IBM) y Grupo Konni (Cisco Talos).
Expertos políticos, periodistas y organizaciones no gubernamentales (ONG) fueron blanco de ataques en las campañas semanales observadas de enero a junio de 2021, con los investigadores de Proofpoint Darien Huss y Selena Larson revelando en detalle las tácticas, técnicas y procedimientos (TTP) del actor en un informe técnico. los ataques se extendieron por América del Norte, Rusia, China y Corea del Sur.
Kimsuky, que se sabe que estuvo operativo desde 2012, se ha convertido desde entonces en uno de los grupos más activos para las amenazas persistentes avanzadas (APT), conocido por atacar el espionaje cibernético pero también por llevar a cabo ataques para obtener ganancias financieras, apuntar a entidades gubernamentales, grupos de expertos y personas identificadas como expertos en diversos campos y también recopilan información confidencial sobre política exterior y cuestiones de seguridad nacional.
«Al igual que otros grupos de APT que forman un gran paraguas, Kimsuky incluye varios grupos: BabyShark, AppleSeed, Flower Power y Gold Dragon», dijeron los investigadores de Kaspersky en su informe sobre las tendencias de APT para el tercer trimestre de 2021 publicado el mes pasado. El subgrupo AppleSeed también se conoce como TA408.
El grupo también es conocido por atacar objetivos con esquemas de ingeniería social convincentes y ataques abrumadores antes de enviarles una carga útil infectada con malware u obligarlos a enviar credenciales confidenciales a sitios de phishing, dijo la Agencia de Ciberseguridad de EE. UU. Infraestructura (CISA). alerta emitida en octubre de 2020.
A principios de este mes, los investigadores de Cisco Talos dieron a conocer la campaña Kimsuka en curso desde junio de 2021, que se descubrió utilizando blogs maliciosos alojados en la plataforma Blogger de Google para apuntar a objetivos de Corea del Sur de alto valor, incluidas las agencias de investigación geopolítica y aeronáutica, para proporcionar un «en constante evolución». conjunto de implantes derivados de la familia Gold Dragon / Brave Prince, que actúan como extractores de archivos, recopiladores de información y robo de credenciales para reconocimiento, espionaje y adquisición de credenciales.
“Esta campaña comienza con documentos maliciosos de Microsoft Office (maldocs) que contienen macros que se entregan a las víctimas”, explicaron los investigadores de Talos. «La cadena de infecciones hace que el malware llegue a los blogs maliciosos creados por los atacantes. Estos blogs les dan a los atacantes la capacidad de actualizar el contenido malicioso publicado en el blog, dependiendo de si la víctima es valiosa para los atacantes».
Ahora, en lo que parece ser un aumento adicional en los ataques, el actor de amenazas lanzó simultáneamente campañas de correo electrónico casi semanales amenazando la identidad de expertos políticos legítimos, presentando temas relacionados con la seguridad nuclear, la política y la política exterior coreana, que finalmente atrajeron a individuos. renunciar a las credenciales de su empresa a través de URL fraudulentas incrustadas en mensajes que redirigen a las víctimas a sus propios sitios de inicio de sesión.
Las campañas de phishing de Kimsuky experimentaron un cambio notable en marzo de 2021, cuando los correos electrónicos fueron más allá del robo de credenciales y se convirtieron en un medio para la distribución de malware, en línea con las pruebas de cohetes de Corea del Norte realizadas más tarde ese mes.
Los correos electrónicos contenían un enlace que enviaba el objetivo a un dominio controlado por el atacante, que se usa para descargar objetivos para descargar un archivo comprimido que contiene un archivo binario que está organizado para crear una tarea programada que se ejecuta cada 15 minutos para instalar malware adicional de forma remota. servidor. . Sin embargo, el motivo final de los ataques sigue sin estar claro, ya que no se han observado cargas útiles posteriores.
Otro ataque notable en junio resultó en la implementación de un descargador («FatBoy») que usaba un cebo para el archivo adjunto HTML, que luego se usó para obtener una secuencia de comandos de reconocimiento de siguiente etapa que pudo recopilar «información extensa» sobre el dispositivo de destino. Proofpoint dijo que las dos campañas se superpusieron con ataques previamente identificados por Konni Group.
Otras herramientas notables en su arsenal de malware incluyen un registrador de teclas de Windows llamado YoreKey, una serie de aplicaciones de Android maliciosas que atacan a los usuarios de criptomonedas en Corea del Sur, un servicio deionfube llamado Deioncube para decodificar archivos encriptados con el software de protección de fuente ionCube y chantaje sexual que insta al correo electrónico. . beneficiarios para transferir el monto de bitcoin de $ 500 a una billetera válida asociada con una organización no gubernamental con sede en Corea del Sur.
«No se sabe si la ONG se vio comprometida y el informe de donación se publicó en su sitio web con malas intenciones o si hay otra explicación», dijeron los investigadores. «Para junio de 2021, la billetera de bitcoin asociada había recibido y enviado aproximadamente 3,77 bitcoins».
