Ερευνητές από τη Νότιο Κορέα, εντόπισαν νέα δραστηριότητα από την ομάδα hacking Kimsuky, που περιλαμβάνει remote access tools ανοιχτού κώδικα, με προσαρμοσμένο Gold Dragon malware.
Δείτε επίσης: Βορειοκορεάτες hackers προσπάθησαν να επέμβουν σε δοκιμές εμβολίων
Η Kimsuky είναι μια κρατική ομάδα hacking που υποστηρίζετε από τη Βόρεια Κορέα, γνωστή και ως TA406, η οποία συμμετέχει ενεργά σε εκστρατείες κυβερνοκατασκοπείας από το 2017.
Η ομάδα έχει επιδείξει εντυπωσιακή λειτουργική ευελιξία και έχει μεγάλη γκάμα δραστηριοτήτων, συμμετέχοντας σε διανομή κακόβουλου λογισμικού, phishing, συλλογή δεδομένων, ακόμη και κλοπή κρυπτονομισμάτων.
Στην τελευταία της επιχείρηση, που εντοπίστηκε από αναλυτές της ASEC (AhnLab), η Kimsuky χρησιμοποιεί xRAT σε στοχευμένες επιθέσεις εναντίον νοτιοκορεατικών οργανισμών. Η εκστρατεία ξεκίνησε στις 24 Ιανουαρίου 2022 και συνεχίζεται ακόμα.
Το xRAT είναι ένα εργαλείο απομακρυσμένης πρόσβασης και διαχείρισης ανοιχτού κώδικα που διατίθεται δωρεάν στο GitHub. Το κακόβουλο λογισμικό παρέχει μια σειρά λειτουργιών, όπως καταγραφή πληκτρολογίου, απομακρυσμένο κέλυφος, ενέργειες διαχείρισης αρχείων, αντίστροφο διακομιστή μεσολάβησης HTTPS, επικοινωνία AES-128 και αυτοματοποιημένο social engineering.
Ένας εξελιγμένος παράγοντας απειλών μπορεί να επιλέξει να χρησιμοποιήσει RAT καθώς για βασικές αναγνωριστικές επιχειρήσεις, αυτά τα εργαλεία είναι απολύτως επαρκή και δεν απαιτούν μεγάλη διαμόρφωση.
Δείτε ακόμα: Η APT37 στοχεύει Νοτιοκορεάτες δημοσιογράφους με το malware Chinotto
Αυτό επιτρέπει στους κακόβουλους χρήστες να εστιάσουν τους πόρους τους στην ανάπτυξη malware μεταγενέστερου σταδίου, που απαιτεί πιο εξειδικευμένη λειτουργικότητα ανάλογα με τα αμυντικά εργαλεία/πρακτικές που υπάρχουν.
Επίσης, τα RAT συνδυάζονται με δραστηριότητα από ένα ευρύ φάσμα παραγόντων απειλής, καθιστώντας πιο δύσκολο για τους αναλυτές να αποδώσουν κακόβουλη δραστηριότητα σε μια συγκεκριμένη ομάδα.
Το Gold Dragon είναι ένα backdoor δεύτερου σταδίου που η Kimsuky αναπτύσσει συνήθως μετά από μια επίθεση πρώτου σταδίου που βασίζεται σε PowerShell χωρίς αρχεία και αξιοποιεί τη στεγανογραφία.
Ωστόσο, όπως εξηγεί η ASEC στην έκθεσή της, η παραλλαγή που εντοπίστηκε αυτή τη φορά, διαθέτει πρόσθετες λειτουργίες, όπως η εξαγωγή βασικών πληροφοριών συστήματος.
Το malware δεν χρησιμοποιεί πλέον διεργασίες συστήματος για αυτήν τη λειτουργία, αλλά εγκαθιστά το εργαλείο xRAT για να κλέψει τις απαραίτητες πληροφορίες με μη αυτόματο τρόπο.
Το RAT είναι μεταμφιεσμένο ως εκτελέσιμο, με το όνομα cp1093.exe, το οποίο αντιγράφει μια κανονική διαδικασία PowerShell (powershell_ise.exe) στη διαδρομή “C:\ProgramData\” και εκτελείται μέσω διεργασίας hollowing.
Δείτε επίσης: Hackers μολύνθηκαν με το δικό τους RAT malware
Στη συνέχεια, το πρόγραμμα εγκατάστασης προσθέτει ένα νέο κλειδί μητρώου για να καθορίσει την επιμονή εκκίνησης για το ωφέλιμο φορτίο κακόβουλου λογισμικού (glu32.dll).
Τέλος, η ομάδα ρίχνει ένα πρόγραμμα απεγκατάστασης (UnInstall_kr5829.co.in.exe) που μπορεί να διαγράψει τα ίχνη της παραβίασης εάν και όταν χρειαστεί.
Το AhnLab προτείνει στους χρήστες να απέχουν από το άνοιγμα συνημμένων σε email από άγνωστες πηγές, καθώς αυτό παραμένει το κύριο κανάλι διανομής κακόβουλου λογισμικού για την Kimsuky.
