Il gruppo di minaccia nordcoreano noto come Kimsuky è stato osservato mentre prendeva di mira istituti di ricerca in Corea del Sud come parte di una campagna di spear-phishing, con l’obiettivo finale di distribuire backdoor sui sistemi compromessi come denunciato da AhnLab.
Tecniche e Obiettivi di Kimsuky
L’attacco inizia con un’esca sotto forma di dichiarazione di importazione, che è in realtà un file JSE maligno contenente uno script PowerShell offuscato, un payload codificato in Base64 e un documento PDF di diversivo. L’apertura del file PDF funge da tattica diversiva, mentre lo script PowerShell viene eseguito in background per lanciare la backdoor. Il malware è configurato per raccogliere informazioni di rete e altri dati rilevanti e trasmettere i dettagli codificati a un server remoto. È inoltre in grado di eseguire comandi, eseguire payload aggiuntivi e terminare se stesso, trasformandosi in una backdoor per l’accesso remoto all’host infetto.
Espansione delle Attività di Kimsuky
Attivo dal 2012, Kimsuky ha iniziato prendendo di mira entità governative sudcoreane, think tank e individui identificati come esperti in vari campi, prima di espandere il suo raggio d’azione a Europa, Russia e Stati Uniti. All’inizio di questo mese, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato Kimsuky per la raccolta di informazioni a sostegno degli obiettivi strategici della Corea del Nord, tra cui eventi geopolitici, politica estera e sforzi diplomatici.
Altre Attività di Gruppi Nordcoreani
Il rapporto arriva mentre la società di sicurezza blockchain SlowMist ha implicato il noto gruppo nordcoreano Lazarus Group in una vasta campagna di phishing su Telegram mirata al settore delle criptovalute. Inoltre, la Seoul Metropolitan Police Agency (SMPA) ha accusato il sottogruppo di Lazarus, Andariel, di aver rubato informazioni tecniche sui sistemi di armi antiaeree da aziende di difesa nazionali e di aver riciclato i proventi di attacchi ransomware in Corea del Nord.