0
0
Globalmente, o interesse aumentou em torno do grupo de ameaças persistentes avançadas Kimsuky da Coreia do Norte (também conhecido como APT43) e suas marcas. Ainda assim, o grupo não está mostrando sinais de desaceleração, apesar do escrutínio.
Kimsuky é um ator de ameaças alinhado ao governo, cujo principal objetivo é a espionagem, muitas vezes (mas não exclusivamente) nos campos da política e da pesquisa de armas nucleares. Seus alvos abrangem os setores governamental, energético, farmacêutico e financeiro, e mais além disso, principalmente em países que a RPDC considera arqui-inimigos: Coreia do Sul, Japão e Estados Unidos.
Kimsuky não é de forma alguma uma nova equipe – a CISA rastreou a atividade do grupo até 2012. O interesse atingiu o pico no mês passado graças a um relatório da empresa de segurança cibernética Mandiant e a uma campanha baseada em extensão do Chrome que levou a um aviso conjunto das autoridades alemãs e coreanas. Em um blog publicado em 20 de abril, o VirusTotal destacou um pico nas pesquisas de malware associadas ao Kimsuky, como demonstrado no gráfico abaixo.
Muitos APT desmoronaram sob crescente escrutínio de pesquisadores e policiais. Mas os sinais mostram que Kimsuky não se incomoda.
“Normalmente, quando publicamos insights, eles dizem: ‘Oh, uau, estamos expostos. Hora de ir para a clandestinidade'”, diz Michael Barnhart, analista principal da Mandiant, sobre APTs típicos.
No caso de Kimsuky, no entanto, “ninguém se importa. Vimos zero desaceleração com essa coisa.”
O que está acontecendo com Kimsuky?
Kimsuky passou por muitas iterações e evoluções, incluindo uma divisão total em dois subgrupos. Seus membros são mais experientes em spear phishing, fazendo-se passar por membros de organizações direcionadas em e-mails de phishing – muitas vezes por semanas a fio – para se aproximar das informações confidenciais que procuram.
O malware que eles implantaram ao longo dos anos, no entanto, é muito menos previsível. Eles demonstraram a mesma capacidade com extensões de navegador maliciosas, cavalos de Tróia de acesso remoto, spyware modular e muito mais, alguns comerciais e outros não.
Na postagem do blog, o VirusTotal destacou a propensão do APT para a entrega de malware por meio de macros .docx. Em alguns casos, no entanto, o grupo utilizou o CVE-2017-0199, uma vulnerabilidade de execução de código arbitrário com classificação de alta gravidade 7.8 no Windows e no Microsoft Office.
Com o recente aumento no interesse em torno de Kimsuky, o VirusTotal revelou que a maioria das amostras carregadas vem da Coreia do Sul e dos Estados Unidos. Isso acompanha a história e os motivos do grupo. No entanto, também tem suas gavinhas em países que podem não ser imediatamente associados à política norte-coreana, como Itália e Israel.
Por exemplo, quando se trata de pesquisas – indivíduos que se interessam pelas amostras – o segundo maior volume vem da Turquia. “Isso pode sugerir que a Turquia é uma vítima ou um canal de ataques cibernéticos norte-coreanos”, de acordo com o post do blog.
Como se defender contra Kimsuky
Como o Kimsuky tem como alvo organizações em todos os países e setores, a gama de organizações que precisam se preocupar com elas é maior do que a maioria dos APTs de estados-nação.
“Então, o que temos pregado em todos os lugares”, diz Barnhart, “é a força em números. Com todas essas organizações ao redor do mundo, é importante que todos nós falemos uns com os outros. É importante que colaboremos. Ninguém deveria estar operando em um silo.”
E, ele enfatiza, porque Kimsuky usa indivíduos como canais para ataques maiores, todos têm que estar atentos. “É importante que todos nós tenhamos essa linha de base de: não clique em links e use sua autenticação multifator.”
Com proteções simples contra spear phishing, até mesmo hackers norte-coreanos podem ser frustrados. “Pelo que estamos vendo, funciona se você realmente dedicar um tempo para seguir sua higiene cibernética”, observa Barnhart.
FONTE: DARK READING