Un actor de amenaza de estado-nación con vínculos con Corea del Septentrión se ha relacionado con una campaña en curso dirigida a los sectores de negocios, gobierno y criptomonedas de Corea del Sur.
La campaña de ataque, doblada Profundo#dispositivo Por Securonix, se ha atribuido a un camarilla de piratería conocido como Kimsuky, que incluso se rastrea bajo los nombres Apt43, Black Banshee, Emerald Ship, Sparkling Piscis, Springtail, Ta427 y Velvet Chollima.
“Aprovechando los señuelos de phishing a medida escritos en coreanos y disfrazados de documentos legítimos, los atacantes se infiltraron con éxito entornos específicos”, dijeron los investigadores de seguridad den iuzvyk y Tim Peck en un referencia compartido con las telediario de los hackers, describiendo la actividad como un “” sofisticado y multi estaje. operación.”
Los documentos Decoy, enviados a través de correos electrónicos de phishing como archivos .hwp, .xlsx y .pptx, se disfrazan de registros de trabajo, documentos de seguro y archivos relacionados con cripto para engañar a los destinatarios para que los abran, lo que desencadena el proceso de infección.
La prisión de ataque es trascendente por su gran dependencia de los scripts de PowerShell en varias etapas, incluida la entrega de carga útil, el examen y la ejecución. Todavía se caracteriza por el uso de Dropbox para la distribución de la carga útil y la exfiltración de datos.
Todo comienza con un archivo ZIP que contiene un solo archivo de golpe directo de Windows (.lnk) que se disfraza de un documento permitido, que, cuando se extrae y se lanzó, desencadena la ejecución del código PowerShell para recuperar y mostrar un documento de señuelo alojado en Dropbox, mientras que sigilosamente Establecer persistencia en el host de Windows a través de una tarea programada llamamiento “ChromeUpdatetaskmachine”.
Uno de esos documentos de señuelo, escrito en coreano, se refiere a un plan de trabajo de seguridad para operaciones de montacargas en un centro de provisión, profundizando en el manejo seguro de carga pesada y describiendo formas de asegurar el cumplimiento de los estándares de seguridad en el zona de trabajo.
El script PowerShell incluso está diseñado para contactar la misma ubicación de Dropbox para obtener otro script de PowerShell que es responsable de resumir y exfiltrar información del sistema. Adicionalmente, deja caer un tercer script PowerShell que finalmente es responsable de ejecutar un ensamblaje de .NET desconocido.
“El uso de la autenticación basada en token OAuth para las interacciones de la API de Dropbox permitió una exfiltración perfecta de los datos de examen, como la información del sistema y los procesos activos, a las carpetas predeterminadas”, dijeron los investigadores.
“Esta infraestructura basada en la cirro demuestra un método efectivo pero sigiloso para encajar y recuperar las cargas aperos, sin advenir por stop las listas de bloques de IP o dominio tradicionales. Adicionalmente, la infraestructura parecía dinámica y de corta duración, como se evidencia por la rápida exterminio de enlaces secreto a posteriori de las etapas iniciales de las etapas iniciales de las Ataque, una táctica que no solo complica el prospección, sino que incluso sugiere que los atacantes monitorean activamente sus campañas para la seguridad operativa “.
Securonix dijo que fue capaz de servirse los tokens OAuth para obtener información adicional sobre la infraestructura del actor de amenaza, encontrando evidencia de que la campaña puede suceder estado en marcha desde septiembre del año pasado.
“A pesar de la etapa final faltante, el prospección destaca las técnicas sofisticadas empleadas, incluida la ofuscación, la ejecución sigilosa y el procesamiento dinámico de archivos, que demuestran la intención del atacante de sortear la detección y complicar la respuesta de incidentes”, concluyeron los investigadores.
