O agente de ameaças ligado à Coreia do Norte conhecido como Kimsuky foi associado a um novo conjunto de ataques direcionados a funcionários universitários, pesquisadores e professores para fins de coleta de informações.
A empresa de segurança cibernética Resilience disse que identificou a atividade no closing de julho de 2024 após observar um erro de segurança operacional (OPSEC) cometido pelos hackers.
Kimsuky, também conhecida pelos nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail e Velvet Chollima, é apenas uma das inúmeras equipes cibernéticas ofensivas que operam sob a direção do governo e do exército norte-coreanos.
Ele também é muito ativo, frequentemente aproveitando campanhas de spear-phishing como ponto de partida para fornecer um conjunto cada vez maior de ferramentas personalizadas para conduzir reconhecimento, roubar dados e estabelecer acesso remoto persistente a hosts infectados.
Os ataques também são caracterizados pelo uso de hosts comprometidos como infraestrutura de preparação para implantar uma versão ofuscada do net shell Inexperienced Dinosaur, que é então usado para executar operações de arquivo. O uso do net shell por Kimuksy foi destacado anteriormente pelo pesquisador de segurança blackorbird em maio de 2024.
O acesso oferecido pelo Inexperienced Dinosaur é então usado de forma abusiva para carregar páginas de phishing pré-criadas, projetadas para imitar portais de login legítimos do Naver e de várias universidades, como a Universidade Dongduk, a Universidade da Coreia e a Universidade Yonsei, com o objetivo de capturar suas credenciais.
Em seguida, as vítimas são redirecionadas para outro website que aponta para um documento PDF hospedado no Google Drive que pretende ser um convite para o Fórum de agosto do Asan Institute for Coverage Research.
“Além disso, nos websites de phishing da Kimsuky, há um package de ferramentas de phishing não específico para coletar contas do Naver”, disseram os pesquisadores da Resilience.
“Este package de ferramentas é um proxy rudimentar semelhante ao Evilginx para roubar cookies e credenciais de visitantes e mostra pop-ups informando aos usuários que eles precisam fazer login novamente porque a comunicação com o servidor foi interrompida.”
A análise também lançou luz sobre uma ferramenta PHPMailer personalizada usada por Kimsuky, chamada SendMail, que é empregada para enviar e-mails de phishing para alvos usando contas do Gmail e do Daum Mail.
Para combater a ameaça, é recomendável que os usuários habilitem a autenticação multifator (MFA) resistente a phishing e examinem os URLs antes de efetuar login.
