Kimsuky, APT affiliato alla Corea del Nord, è stato osservato mentre utilizza attacchi di spear-phishing per distribuire una varietà di backdoor e strumenti come AppleSeed, Meterpreter e TinyNuke, al fine di prendere il controllo di macchine compromesse con attività di spionaggio.
Attività di Kimsuky e Metodi di Attacco
La società di cybersecurity sudcoreana AhnLab ha attribuito queste attività al gruppo di minaccia persistente avanzata (APT) noto come Kimsuky. Il gruppo è attivo da oltre un decennio e si è concentrato inizialmente su entità in Corea del Sud, espandendo poi il suo raggio d’azione ad altre geografie nel 2017. Kimsuky è stato sanzionato dal governo degli Stati Uniti per aver raccolto informazioni a sostegno degli obiettivi strategici della Corea del Nord.
AppleSeed e AlphaSeed: Strumenti di Spionaggio
Una delle backdoor basate su Windows più utilizzate da Kimsuky è AppleSeed (nota anche come JamBog), un malware in formato DLL utilizzato sin dal maggio 2019 e aggiornato con una versione Android e una nuova variante scritta in Golang chiamata AlphaSeed. AppleSeed è progettato per ricevere istruzioni da un server controllato dall’attore, scaricare payload aggiuntivi ed esfiltrare dati sensibili come file, battiture e screenshot. AlphaSeed, simile ad AppleSeed, incorpora caratteristiche simili ma presenta alcune differenze cruciali.
Tattiche e Obiettivi
Le campagne di spionaggio di Kimsuky sono realizzate attraverso attacchi di spear-phishing contenenti documenti ingannevoli che, una volta aperti, culminano nel dispiegamento di varie famiglie di malware. Inoltre, il gruppo utilizza anche malware Meterpreter e VNC come TightVNC e TinyNuke (noto anche come Nuclear Bot), che possono essere sfruttati per prendere il controllo del sistema colpito.
Implicazioni e Rischi
Questi sviluppi evidenziano il modo in cui la Corea del Nord ha ricorso a tattiche innovative e sfruttato le debolezze della catena di approvvigionamento per colpire aziende blockchain e di criptovalute, facilitando il furto di proprietà intellettuale e beni virtuali. La natura prolifica e aggressiva degli attacchi sottolinea i diversi modi in cui il paese ha cercato di eludere le sanzioni internazionali e trarre profitto illegalmente da questi schemi.