O grupo de hackers Kimsuky, ligado à Coreia do Norte, foi atribuído a um novo ataque de engenharia social que emprega contas fictícias do Fb para atingir alvos by way of Messenger e, em última análise, entrega malware.
“O ator da ameaça criou uma conta no Fb com uma identidade falsa disfarçada de funcionário público que trabalha na área de direitos humanos da Coreia do Norte”, disse a empresa sul-coreana de segurança cibernética Genians em um relatório publicado na semana passada.
A campanha de ataque em várias fases, que se faz passar por um indivíduo legítimo, destina-se a atingir ativistas dos setores norte-coreanos de direitos humanos e anti-Coreia do Norte, observou.
A abordagem difere da estratégia típica de spear phishing baseada em e-mail, pois aproveita a plataforma de mídia social para abordar alvos por meio do Fb Messenger e induzi-los a abrir documentos aparentemente privados escritos pela persona.
Os documentos chamariz, hospedados no OneDrive, são um documento do Microsoft Frequent Console que se disfarça como um ensaio ou conteúdo relacionado a uma cúpula trilateral entre o Japão, a Coreia do Sul e os EUA – “My_Essay(prof).msc” ou “NZZ_Interview_Kohei Yamamoto. msc” – com este último carregado na plataforma VirusTotal em 5 de abril de 2024, do Japão.
Isto levanta a possibilidade de a campanha ser orientada para atingir pessoas específicas no Japão e na Coreia do Sul.
O uso de arquivos MSC para realizar o ataque é um sinal de que Kimsuky está utilizando tipos de documentos incomuns para passar despercebidos. Numa tentativa adicional de aumentar a probabilidade de sucesso da infecção, o arquivo é disfarçado como um arquivo Phrase inócuo usando o ícone do processador de texto.
Caso a vítima inicie o arquivo MSC e concorde em abri-lo usando o Microsoft Administration Console (MMC), será exibida uma tela do console contendo um documento do Phrase que, quando iniciado, ativa a sequência de ataque.
Isso envolve a execução de um comando para estabelecer uma conexão com um servidor controlado pelo adversário (“brandwizer.co(.)in”) para exibir um documento hospedado no Google Drive (“Ensaio sobre Resolução de Reivindicações de Trabalho Forçado Coreano.docx”), enquanto instruções adicionais são executadas em segundo plano para configurar a persistência, bem como coletar informações da bateria e do processo.
As informações coletadas são então exfiltradas para o servidor de comando e controle (C2), que também é capaz de coletar endereços IP, strings de agente de usuário e informações de carimbo de knowledge/hora das solicitações HTTP e entregar cargas relevantes conforme necessário.
Genians disse que algumas das táticas, técnicas e procedimentos (TTPs) adotados na campanha se sobrepõem às atividades anteriores de Kimsuky de disseminação de malware como o ReconShark, que foi detalhado pelo SentinelOne em maio de 2023.
“No primeiro trimestre deste ano, os ataques de spear phishing foram o método mais comum de ataques APT relatados na Coreia do Sul”, observou a empresa. “Embora não sejam comumente relatados, também estão ocorrendo ataques secretos através das redes sociais”.
“Devido à sua natureza personalizada e particular person, não são facilmente detectadas pelo monitoramento de segurança e raramente são relatadas externamente, mesmo que a vítima tenha conhecimento delas. Portanto, é muito importante detectar essas ameaças personalizadas o mais cedo possível. estágio.”
