Una semana después de que el gobierno de Estados Unidos emitiera un aviso sobre una «misión de recopilación de inteligencia global» operada por piratas informáticos patrocinados por el estado de Corea del Norte , surgieron nuevos hallazgos sobre las capacidades de software espía del grupo de amenazas.
La APT, apodada » Kimsuky » (también conocida como Black Banshee o Thallium) y que se cree que está activa desde 2012, ahora se ha vinculado a hasta tres programas maliciosos hasta ahora indocumentados, incluido un ladrón de información, una herramienta equipada con anti-análisis de malware. características y una nueva infraestructura de servidor con superposiciones significativas con su antiguo marco de espionaje.
«El grupo tiene una historia rica y notoria de operaciones cibernéticas ofensivas en todo el mundo, incluidas las operaciones dirigidas a los think tanks de Corea del Sur, pero en los últimos años han expandido sus objetivos a países como Estados Unidos, Rusia y varias naciones de Europa». «Los investigadores de Cybereason dijeron en un análisis ayer.
La semana pasada, el FBI y los departamentos de Defensa y Seguridad Nacional publicaron conjuntamente un memorando que detalla las tácticas, técnicas y procedimientos (TTP) de Kimsuky .
Aprovechando trucos de spear-phishing e ingeniería social para obtener el acceso inicial a las redes de víctimas, se sabe que la APT se dirige específicamente a personas identificadas como expertos en varios campos, grupos de expertos, la industria de las criptomonedas y entidades gubernamentales de Corea del Sur, además de posar como periodistas de Corea del Sur para enviar correos electrónicos incrustados con el malware BabyShark .
En los últimos meses, Kimsuky se ha atribuido a una serie de campañas que utilizan señuelos de correo electrónico con temas de coronavirus que contienen documentos Word armados como vector de infección para afianzarse en las máquinas víctimas y lanzar ataques de malware.
«Kimsuky centra sus actividades de recopilación de inteligencia en asuntos de política exterior y seguridad nacional relacionados con la península de Corea, la política nuclear y las sanciones», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Ahora, según Cybereason, el actor de amenazas ha adquirido nuevas capacidades a través de un paquete de software espía modular llamado «KGH_SPY», lo que le permite realizar el reconocimiento de las redes objetivo, capturar las pulsaciones de teclas y robar información confidencial.
Además de esto, la puerta trasera KGH_SPY puede descargar cargas útiles secundarias desde un servidor de comando y control (C2), ejecutar comandos arbitrarios a través de cmd.exe o PowerShell, e incluso recolectar credenciales de navegadores web, Windows Credential Manager, WINSCP y clientes de correo.
También es de destacar el descubrimiento de un nuevo malware llamado «CSPY Downloader» que está diseñado para frustrar el análisis y descargar cargas útiles adicionales.
Por último, los investigadores de Cybereason desenterraron una nueva infraestructura de conjunto de herramientas registrada entre 2019-2020 que se superpone con el malware BabyShark del grupo utilizado anteriormente para atacar a los think tanks con sede en EE. UU .
«Los actores de la amenaza invirtieron esfuerzos para permanecer fuera del radar, mediante el empleo de diversas técnicas anti-forenses y anti-análisis que incluían retroactivar el tiempo de creación / compilación de las muestras de malware hasta 2016, ofuscación de código, anti-VM y anti-depuración. técnicas «, dijeron los investigadores.
«Si bien la identidad de las víctimas de esta campaña sigue sin estar clara, hay indicios que pueden sugerir que la infraestructura estaba dirigida a organizaciones que se ocupan de violaciones de derechos humanos».
