Il gruppo nordcoreano Kimsuky prende di mira le agenzie governative con nuovi malware

Posted by

Conosciuto anche come Black Banshee, Velvet Chollima e Thallium, si ritiene che l’avversario sia stato attivo almeno dal 2012, prendendo di mira principalmente i think tank in Corea del Sud, ma più recentemente espandendo le operazioni negli Stati Uniti, in Europa e in Russia.

La scorsa settimana, gli Stati Uniti hanno pubblicato un avviso contenente informazioni sulle attività del gruppo di hacker e sulle loro tattiche, tecniche e procedure (TTP), nonché dettagli su alcuni dei malware da esso utilizzati.

In un rapporto appena pubblicato, il team Nocturnus di Cybereason fornisce dettagli su due nuove famiglie di malware associate a Kimsuky, vale a dire uno spyware modulare precedentemente non documentato chiamato KGH_SPY, e un nuovo downloader di malware chiamato CSPY Downloader.

Il nuovo malware, hanno detto i ricercatori di Nocturnus, sembra avere solo pochi mesi, ma le prove suggeriscono che potrebbe essere già stato utilizzato in attacchi contro alcune agenzie governative e attivisti per i diritti umani. Tuttavia, non è chiaro in quali paesi si trovano queste entità.

KGH_SPY, afferma Nocturnus, è una suite modulare di strumenti che consente operazioni di cyber-spionaggio, tra cui riconoscimento, registrazione dei tasti premuti, furto di informazioni e accesso backdoor a sistemi compromessi.

CSPY Downloader, d’altra parte, è stato progettato per l’evasione e racchiude funzionalità anti-analisi avanzate. Il malware aiuta gli aggressori a determinare se il sistema di destinazione è “libero” per ulteriori violazioni e consente loro di distribuire payload aggiuntivi.

I nuovi strumenti mostrano somiglianze di codice con il noto malware Kimsuky e l’infrastruttura del server che l’hacker ha impiegato nei recenti attacchi si sovrappone all’infrastruttura precedentemente associata al gruppo, affermano i ricercatori.

Fornito tramite documenti preconfezionati che eseguono un’estesa impronta digitale del sistema di destinazione, lo spyware può raggiungere la persistenza, eseguire keylogging, scaricare payload aggiuntivi ed eseguire codice arbitrario, oltre a rubare informazioni da applicazioni come Chrome, Edge, Firefox, Opera, Thunderbird, e Winscp.

Il CSPY Downloader, dicono i ricercatori, non recupera un payload secondario fino a quando non esegue una serie di controlli per determinare se è in esecuzione in un ambiente virtuale o se è presente un debugger. Prima di ciò, il documento che rilascia il downloader esegue controlli simili.

L’indagine sul nuovo malware ha rivelato che gli aggressori hanno modificato i timestamp di creazione / compilazione dei loro nuovi strumenti, per sembrare che siano stati creati nel 2016. I domini codificati nei campioni, ad esempio, sono stati registrati tra gennaio 2019 e agosto 2020, anni dopo la data di creazione apparente dei campioni.

“Gli hacker hanno investito sforzi per rimanere sotto il radar, impiegando varie tecniche anti-forensi e anti-analisi che includevano il retrodatare il timestamp di creazione / compilazione dei campioni di malware al 2016, offuscamento del codice, tecniche anti-VM e anti-debugging. Al momento della stesura di questo rapporto, alcuni dei campioni menzionati nel rapporto non sono ancora stati rilevati da alcun fornitore di AV”, conclude il team di Nocturnus.

Vuoi commentare? Accendi la discussione