Gli attori della minaccia nordcoreana “Kimsuky” stanno facendo di tutto per assicurarsi che i loro payload maligni vengano scaricati solo da obiettivi validi e non sui sistemi dei ricercatori di sicurezza.
Secondo un report di Kaspersky pubblicato oggi, il gruppo di minacce sta impiegando nuove tecniche per filtrare le richieste di download non valide dall’inizio del 2022, quando il gruppo ha lanciato una nuova campagna contro vari obiettivi nella penisola coreana. Le nuove protezioni implementate da Kimsuky sono così efficaci che Kaspersky segnala l’impossibilità di acquisire i payload finali anche dopo essersi collegati con successo al server di comando e controllo dell’attore della minaccia.
Uno schema di convalida in più fasi
Gli attacchi individuati da Kaspersky iniziano con un’e-mail di phishing inviata a politici, diplomatici, professori universitari e giornalisti della Corea del Nord e del Sud.
Kaspersky è stata in grado di compilare un elenco di potenziali obiettivi grazie a script C2 recuperati contenenti indirizzi e-mail parziali degli obiettivi. Le e-mail contengono un link che porta le vittime a un server C2 di primo livello che controlla e verifica alcuni parametri prima di consegnare un documento dannoso. Se il visitatore non corrisponde all’elenco degli obiettivi, gli viene servito un documento innocuo.
I parametri includono l’indirizzo e-mail del visitatore, il sistema operativo (Windows è valido) e il file “[who].txt” che viene scaricato dal server di secondo livello.
Allo stesso tempo, l’indirizzo IP del visitatore viene inoltrato al server C2 di seconda fase come parametro di controllo successivo.
Il documento scaricato dal C2 di primo livello contiene una macro dannosa che collega la vittima al C2 di secondo livello, recupera il payload di secondo livello e lo esegue con il processo mshta.exe.
Il payload è un file .HTA che crea anche un’attività pianificata per l’esecuzione automatica. La sua funzione è quella di profilare la vittima controllando i percorsi delle cartelle ProgramFiles, il nome dell’AV, il nome utente, la versione del sistema operativo, la versione di MS Office, la versione del framework .NET e altro ancora.
Il risultato dell’impronta digitale viene memorizzato in una stringa (“chnome”), una copia viene inviata al C2 e un nuovo payload viene prelevato e registrato con un meccanismo di persistenza.
Il payload successivo è un file VBS che può portare la vittima a un blog legittimo o, se si tratta di obiettivi validi, portarla alla fase successiva di payload-download.
“È interessante notare che questo script C2 genera un indirizzo di blog basato sull’indirizzo IP della vittima. Dopo aver calcolato l’hash MD5 dell’indirizzo IP della vittima, taglia gli ultimi 20 caratteri e lo trasforma in un indirizzo di blog”, spiega Kaspersky.
“L’intento dell’autore è quello di gestire un falso blog dedicato per ogni vittima, riducendo così l’esposizione del malware e dell’infrastruttura”.
A questo punto il sistema della vittima viene controllato per verificare l’esistenza dell’insolita stringa “chnome”, che è stata volutamente scritta in modo errato per fungere da validatore unico che non desta comunque sospetti.
L’ultimo processo di infezione di Kimsuky
Sfortunatamente, Kaspersky non è riuscito a proseguire da qui e a recuperare il payload della fase successiva, quindi non si sa se questo sia quello finale o se ci siano stati più passaggi di convalida.
La campagna evidenziata da Kaspersky illustra le elaborate tecniche impiegate dagli hacker coreani per ostacolare l’analisi e rendere più difficile il loro tracciamento.
Kimsuky: l’apt nordcoreano che fa concorrenza a Lazarus
Kimsuky: APT nordcoreano che ha colpito le Nazioni Unite e le Agenzie Nucleari della Corea del Sud
