O ator de ameaça ligado à Coreia do Norte conhecido como Kimsuky (também conhecido como Black Banshee, Emerald Sleet ou Springtail) foi observado mudando suas táticas, aproveitando arquivos Compiled HTML Assist (CHM) como vetores para entregar malware para coletar dados confidenciais.
Kimsuky, ativo desde pelo menos 2012, é conhecido por ter como alvo entidades localizadas na Coreia do Sul, bem como na América do Norte, Ásia e Europa.
De acordo com Rapid7, as cadeias de ataque aproveitaram documentos do Microsoft Workplace, arquivos ISO e arquivos de atalho do Home windows (LNK), com o grupo também empregando arquivos CHM para implantar malware em hosts comprometidos.
A empresa de segurança cibernética atribuiu a atividade a Kimsuky com confiança moderada, citando práticas comerciais semelhantes observadas no passado.
“Embora originalmente projetados para documentação de ajuda, os arquivos CHM também foram explorados para fins maliciosos, como distribuição de malware, porque podem executar JavaScript quando abertos”, disse a empresa.
O arquivo CHM é propagado em um arquivo ISO, VHD, ZIP ou RAR, abrindo o qual executa um script Visible Primary (VBScript) para configurar a persistência e chegar a um servidor remoto para buscar uma carga útil de próximo estágio responsável por coletar e exfiltrar dados sensíveis.
Rapid7 descreveu os ataques como contínuos e em evolução, visando organizações baseadas na Coreia do Sul. Ele também identificou uma sequência de infecção alternativa que emprega um arquivo CHM como ponto de partida para descartar arquivos em lote encarregados de coletar as informações e um script do PowerShell para conectar-se ao servidor C2 e transferir os dados.
“O modus operandi e a reutilização de códigos e ferramentas mostram que o ator da ameaça está ativamente usando e refinando/remodelando suas técnicas e táticas para coletar informações das vítimas”, afirmou.
O desenvolvimento ocorre no momento em que a Symantec, de propriedade da Broadcom, revela que os atores de Kimsuky estão distribuindo malware que se faz passar por um aplicativo de uma entidade pública coreana legítima.
“Uma vez comprometido, o dropper instala um malware backdoor Endoor”, disse a Symantec. “Esta ameaça permite que os invasores coletem informações confidenciais da vítima ou instalem malware adicional.”
Vale a pena notar que o Endoor baseado em Golang, juntamente com o Troll Stealer (também conhecido como TrollAgent), foi recentemente implantado em conexão com ataques cibernéticos que visam usuários que baixam programas de segurança do website de uma associação coreana relacionada à construção.
As conclusões também chegam no meio de uma investigação iniciada pelas Nações Unidas sobre 58 supostos ataques cibernéticos realizados por intervenientes estatais norte-coreanos entre 2017 e 2023, que renderam 3 mil milhões de dólares em receitas ilegais para ajudar o país a desenvolver ainda mais o seu programa de armas nucleares.
“O elevado quantity de ataques cibernéticos por grupos de hackers subordinados ao Reconnaissance Normal Bureau supostamente continuou”, afirmou o relatório. “As tendências incluem visar empresas de defesa e cadeias de abastecimento e, cada vez mais, partilhar infraestruturas e ferramentas.”
O Reconnaissance Normal Bureau (RGB) é o principal serviço de inteligência estrangeiro da Coreia do Norte, compreendendo os grupos de ameaças amplamente monitorizados como o Grupo Lazarus – e os seus elementos subordinados, Andariel e BlueNoroff – e Kimsuky.
“Kimsuky demonstrou interesse em usar inteligência synthetic generativa, incluindo grandes modelos de linguagem, potencialmente para codificar ou escrever e-mails de phishing”, acrescentou o relatório. “Kimsuky foi observado usando ChatGPT.”
