Il gruppo di minaccia persistente avanzata (APT) nordcoreano conosciuto come Kimsuky è stato recentemente osservato utilizzare un pezzo di malware su misura chiamato RandomQuery come parte di una operazione di ricognizione ed esfiltrazione di informazioni.
Kimsuky: un persistente pericolo per le organizzazioni di tutto il mondo
“L’ultimamente, Kimsuky distribuisce in modo coerente malware personalizzato come parte di campagne di ricognizione per consentire attacchi successivi”, hanno affermato gli ricercatori di SentinelOne Aleksandar Milenkoski e Tom Hegel in un rapporto pubblicato oggi.
La campagna mirata in corso, secondo la società di cybersecurity, è principalmente rivolta ai servizi di informazione e alle organizzazioni che sostengono attivisti per i diritti umani e disertori nordcoreani.
Kimsuky, attivo dal 2012, ha un record di colpire organizzazioni e individui di interesse strategico per la Corea del Nord.
Gli strumenti di ricognizione di Kimsuky e l’uso di RandomQuery
Le missioni di raccolta di intelligence hanno recentemente coinvolto l’uso di un altro strumento di ricognizione chiamato ReconShark, come dettagliato da SentinelOne all’inizio di questo mese.
L’ultimo cluster di attività associato al gruppo è iniziato il 5 maggio 2023, e sfrutta una variante di RandomQuery specificamente progettata per elencare i file e sifonare dati sensibili.
RandomQuery, insieme a FlowerPower e AppleSeed, sono tra gli strumenti più frequentemente distribuiti nell’arsenale di Kimsuky, con il primo che funziona come uno strumento di furto di informazioni e un condotto per distribuire trojan di accesso remoto come TutRAT e xRAT.
Il modus operandi di Kimsuky: attacchi di phishing e l’uso di file CHM
Gli attacchi iniziano con email di phishing che si spacciano per Daily NK, una nota pubblicazione online con sede a Seul che tratta questioni nordcoreane, per indurre potenziali obiettivi ad aprire un file Microsoft Compiled HTML Help (CHM).
Lanciare il file CHM porta all’esecuzione di uno script Visual Basic che emette una richiesta HTTP GET a un server remoto per recuperare il payload di seconda fase, una variante VBScript di RandomQuery.
Il malware procede quindi a raccogliere metadati del sistema, processi in esecuzione, applicazioni installate e file da diverse cartelle, tutti trasmessi al server di comando e controllo (C2).