Il gruppo avanzato di minacce persistenti (APT) della Corea del Nord, Kimsuky, continua a evolversi nei suoi metodi di attacco, ampliando la sua capacità di controllare i sistemi delle vittime attraverso l’uso di strumenti legittimi di desktop remoto e nuovi malware personalizzati. Questo gruppo, che opera per conto del leader supremo nordcoreano Kim Jong-Un, è stato recentemente osservato mentre abusava del Protocollo Desktop Remoto (RDP) e di altri strumenti che gli permettono di prendere il controllo a distanza dei sistemi bersaglio. Se RDP non è presente, gli aggressori installano software open source nell’ambiente bersaglio.
Kimsuky, attivo dal 2013 per commettere cyber spionaggio per conto del regime di Jong-Un, sta anche evolvendo le sue tattiche oltre questo protocollo per ottenere il controllo remoto dei sistemi desktop compromessi. Oltre all’abuso di RDP, il gruppo utilizza lo strumento open-source di virtual network computing (VNC) TightVNC, simile all’RDP in quanto sistema di condivisione dello schermo per il controllo remoto di altri computer. In alcuni casi, il gruppo ha utilizzato Chrome Remote Desktop, supportato dal browser Google Chrome, per controllare i sistemi infetti.
Gli attacchi recenti mostrano che Kimsuky continua a utilizzare spear phishing come metodo iniziale di accesso per compromettere i sistemi con BabyShark, il suo malware personalizzato spesso utilizzato per la persistenza e la raccolta di informazioni di sistema. Dopo questo, gli aggressori procedono con l’installazione di altri malware personalizzati e open source. L’obiettivo finale, dopo aver ottenuto il controllo dei sistemi, è rubare informazioni interne e tecnologia dai suoi bersagli, che sono tipicamente settori di ricerca, difesa, diplomazia e accademici in Corea del Sud e in altri paesi di interesse politico o strategico per il regime.
Una funzionalità RDP particolarmente interessante che Kimsuky ha recentemente utilizzato è la capacità di supportare più sessioni di RDP su un sistema Windows, cosa che il sistema operativo desktop Windows non consente nativamente. In attacchi precedenti, Kimsuky ha utilizzato Mimikatz e altri malware per modificare la memoria del processo di servizio RDP in esecuzione per bypassare il limite di una singola sessione. Tuttavia, negli attacchi recenti, il gruppo ora utilizza un malware chiamato “multiple.exe” per supportare RDP a sessioni multiple, oltre ad aggiungere account utente per un ulteriore controllo.
Con le linee che iniziano a sfumare tra Kimsuky e altri gruppi sponsorizzati dalla Corea del Nord come Lazarus, è essenziale che le organizzazioni si proteggano da queste minacce in evoluzione. L’RDP è una superficie di attacco particolarmente sensibile poiché è uno dei servizi preinstallati nei sistemi Windows, richiedendo una gestione adeguata per rilevare o prevenire tali incidenti di compromissione.