Kimsuky, APT collegato alla Corea del Nord, adotta nuove tattiche impiegando file Compiled HTML Help (.CHM) per diffondere malware, intensificando le minacce di cyberspionaggio secondo quanto riferito nell’ultima ricerca di Rapid7.
Evoluzione delle strategie di Kimsuky
Il gruppo, attivo dal 2012, è noto per prendere di mira entità in Corea del Sud, Nord America, Asia ed Europa. Rapid7 ha rivelato che Kimsuky ha iniziato a utilizzare file CHM come vettori per distribuire malware, al fine di raccogliere dati sensibili. Questa mossa evidenzia una continua evoluzione delle tattiche di Kimsuky, mantenendo alta l’allerta nelle organizzazioni target. Leggi la storia di Kimsuky
Attacchi mirati e Sfruttamento di File CHM
I file CHM, progettati originariamente per la documentazione di aiuto, vengono ora sfruttati per eseguire JavaScript e distribuire malware. Gli attacchi di Kimsuky, descritti come in evoluzione, si concentrano principalmente su organizzazioni situate in Corea del Sud. Le tecniche includono l’utilizzo di file CHM per depositare script e collegarsi a server C2, dimostrando la raffinatezza e l’adattabilità delle strategie del gruppo.
Impersonificazione e Minacce di Malware
Symantec ha scoperto che Kimsuky sta diffondendo malware mascherato da applicazioni di enti pubblici coreani legittimi, installando backdoor malware come Endoor, che consente agli attaccanti di raccogliere informazioni sensibili o installare ulteriori malware. Questo mette in luce la pericolosità e la creatività nelle tecniche di inganno di Kimsuky.
Risultati Economici delle Cyberattività e Interesse per l’AI
Le indagini delle Nazioni Unite hanno stimato che gli attacchi cyber condotti da attori statali nordcoreani abbiano generato circa 3 miliardi di dollari in entrate illegali, finanziando il programma di armi nucleari del paese. Kimsuky mostra inoltre un crescente interesse nell’utilizzare l’intelligenza artificiale, inclusi modelli di linguaggio di grandi dimensioni, per attività come la scrittura di email di phishing, evidenziando una sofisticata integrazione di nuove tecnologie nelle loro operazioni.
Cos’è un Compiled HTML Help?
Compiled HTML Help, comunemente noto con l’estensione di file .chm, è un formato proprietario per la documentazione online sviluppato da Microsoft. Utilizzato per la prima volta con Windows 98, è diventato uno standard per la creazione di file di aiuto e documentazione software per i sistemi operativi Windows.
Un file .chm è fondamentalmente una raccolta di pagine web HTML, con una struttura che permette di includere immagini, tabelle, link e altri elementi HTML standard. Questi file sono compilati in un unico documento navigabile, con un indice incorporato e funzionalità di ricerca, rendendoli ideali per manuali utente, guide all’uso e documentazioni tecniche.
I file CHM possono essere aperti e letti su Windows tramite il Visualizzatore della Guida HTML compilata integrato. Tuttavia, a causa di preoccupazioni relative alla sicurezza, l’apertura di file CHM da fonti non affidabili può comportare dei rischi, poiché questi file possono contenere codice eseguibile o collegamenti a contenuti dannosi.