Un actor de amenaza de estado-nación con vínculos con Corea del Norte se ha relacionado con una campaña en curso dirigida a los sectores de negocios, gobierno y criptomonedas de Corea del Sur.
La campaña de ataque, doblada Profundo#unidad Por Securonix, se ha atribuido a un grupo de piratería conocido como Kimsuky, que también se rastrea bajo los nombres Apt43, Black Banshee, Emerald Ship, Sparkling Piscis, Springtail, Ta427 y Velvet Chollima.
«Aprovechando los señuelos de phishing a medida escritos en coreanos y disfrazados de documentos legítimos, los atacantes se infiltraron con éxito entornos específicos», dijeron los investigadores de seguridad den iuzvyk y Tim Peck en un informe compartido con las noticias de los hackers, describiendo la actividad como un «» sofisticado y multi estaje. operación.»
Los documentos Decoy, enviados a través de correos electrónicos de phishing como archivos .hwp, .xlsx y .pptx, se disfrazan de registros de trabajo, documentos de seguro y archivos relacionados con cripto para engañar a los destinatarios para que los abran, lo que desencadena el proceso de infección.
La cadena de ataque es notable por su gran dependencia de los scripts de PowerShell en varias etapas, incluida la entrega de carga útil, el reconocimiento y la ejecución. También se caracteriza por el uso de Dropbox para la distribución de la carga útil y la exfiltración de datos.
Todo comienza con un archivo ZIP que contiene un solo archivo de acceso directo de Windows (.lnk) que se disfraza de un documento legítimo, que, cuando se extrae y se lanzó, desencadena la ejecución del código PowerShell para recuperar y mostrar un documento de señuelo alojado en Dropbox, mientras que sigilosamente Establecer persistencia en el host de Windows a través de una tarea programada llamada «ChromeUpdatetaskmachine».
Uno de esos documentos de señuelo, escrito en coreano, se refiere a un plan de trabajo de seguridad para operaciones de montacargas en un centro de logística, profundizando en el manejo seguro de carga pesada y describiendo formas de garantizar el cumplimiento de los estándares de seguridad en el lugar de trabajo.
El script PowerShell también está diseñado para contactar la misma ubicación de Dropbox para obtener otro script de PowerShell que es responsable de recopilar y exfiltrar información del sistema. Además, deja caer un tercer script PowerShell que finalmente es responsable de ejecutar un ensamblaje de .NET desconocido.
«El uso de la autenticación basada en token OAuth para las interacciones de la API de Dropbox permitió una exfiltración perfecta de los datos de reconocimiento, como la información del sistema y los procesos activos, a las carpetas predeterminadas», dijeron los investigadores.
«Esta infraestructura basada en la nube demuestra un método efectivo pero sigiloso para alojar y recuperar las cargas útiles, sin pasar por alto las listas de bloques de IP o dominio tradicionales. Además, la infraestructura parecía dinámica y de corta duración, como se evidencia por la rápida eliminación de enlaces clave después de las etapas iniciales de las etapas iniciales de las Ataque, una táctica que no solo complica el análisis, sino que también sugiere que los atacantes monitorean activamente sus campañas para la seguridad operativa «.
Securonix dijo que fue capaz de aprovechar los tokens OAuth para obtener información adicional sobre la infraestructura del actor de amenaza, encontrando evidencia de que la campaña puede haber estado en marcha desde septiembre del año pasado.
«A pesar de la etapa final faltante, el análisis destaca las técnicas sofisticadas empleadas, incluida la ofuscación, la ejecución sigilosa y el procesamiento dinámico de archivos, que demuestran la intención del atacante de evadir la detección y complicar la respuesta de incidentes», concluyeron los investigadores.