0
0
Gangue norte-coreana usa componente de malware chamado ReconShark, que é distribuído por meio de e-mails de spear phishing direcionados
O grupo de ameaça persistente avançada (APT) patrocinado pelo governo norte-coreano conhecido como Kimsuky foi observado usando um novo componente de malware chamado ReconShark.
De acordo com um comunicado publicado pelos pesquisadores de segurança da SentinelOne na quinta-feira, 4, o ReconShark é distribuído por meio de e-mails de spear phishing direcionados, que contêm links do OneDrive que levam ao download de documentos e à ativação de macros prejudiciais.
“Os e-mails de spear phishing são feitos com um nível de qualidade de design moldado para indivíduos específicos, o que aumenta a probabilidade de abertura da mensagem pela vítima. Isso inclui formatação adequada, gramática e pistas visuais, parecendo legítimas”, explicam Tom Hegel e Aleksandar Milenkoski, da SentinelOne.
“Notadamente, os e-mails direcionados, que contêm links para baixar documentos maliciosos, e os próprios documentos maliciosos, usam nomes de pessoas reais, cuja experiência é relevante para o assunto de atração, como cientistas políticos”, completam eles.
As macros do Microsoft Office são acionadas quando um documento é fechado e executam uma versão mais avançada da função de reconhecimento encontrada no malware BabyShark de Kimsuky.
“A capacidade do ReconShark de exfiltrar informações valiosas, como mecanismos de detecção implantados e informações de hardware, indica que o ReconShark faz parte de uma operação de reconhecimento orquestrada pelo Kimsuky que permite ataques de precisão subsequentes, possivelmente envolvendo malware especificamente adaptado para escapar das defesas e explorar os pontos fracos da plataforma, ” diz o comunicado.
O ReconShark, ao contrário das variantes anteriores, não salva as informações coletadas no sistema de arquivos. Em vez disso, o malware mantém os dados em variáveis de string e os envia para um servidor de comando e controle (C&C) por meio de solicitações HTTP Post. O ReconShark também pode instalar cargas adicionais, como scripts ou arquivos DLL
(Dynamic-link library, ou biblioteca de vínculo dinâmico), com base nos processos do mecanismo de detecção encontrados nas máquinas infectadas.
Hegel e Milenkoski explicaram ainda que as recentes campanhas do grupo se concentraram em questões globais e atingiram públicos-alvo em todo o mundo. “Por exemplo, as últimas campanhas de Kimsuky focaram em agendas nucleares entre a China e a Coreia do Norte, relevantes para a guerra em curso entre a Rússia e a Ucrânia”, diz o artigo técnico.
A equipe da SentinelOne notou recentemente uma campanha direcionada aos funcionários do Korea Risk Group (KRG). A KRG é uma empresa especializada na análise de assuntos que tenham impacto direto ou indireto na República Popular Democrática da Coreia (RPDC).
“Nossa avaliação é que a mesma campanha foi usada para continuar visando outras organizações e indivíduos pelo menos nos Estados Unidos, Europa e Ásia, incluindo think tanks, universidades de pesquisa e entidades governamentais”, alertaram Hegel e Milenkoski.
O comunicado SentinelOne vem semanas depois de a Mandiant ter revelado um novo grupo APT norte-coreano possivelmente associado ao Kimsuky.
FONTE: CISO ADVISOR