0
0
O grupo cibercriminoso Kimsuky evoluiu para uma ameaça persistente e completa, realizando ataques de engenharia social “excepcionalmente agressivos” com o objetivo de coletar informações e roubar e lavar criptomoedas para apoiar o governo norte-coreano.
Pesquisadores da Mandiant rastrearam uma série de mudanças na atividade do grupo , que eles chamam de APT43, em uma série de ataques rápidos contra alvos nos EUA, Coreia do Sul e Japão, revelaram em um relatório publicado hoje.
Kimsuky, também rastreado como Thallium, está nas telas de radar de vários pesquisadores desde 2018 , e sua atividade anterior foi amplamente divulgada. Em ataques anteriores, o grupo se concentrou principalmente na realização de espionagem cibernética contra instituições de pesquisa, grupos de reflexão geopolíticos e – principalmente durante o auge da pandemia – empresas farmacêuticas.
O grupo normalmente usava campanhas de spear phishing para atrair usuários e, em seguida, instalava vários malwares públicos e não públicos , incluindo spyware, em dispositivos direcionados, que geralmente eram smartphones baseados no Android. Na verdade, Kimsuky foi identificado recentemente, no início deste mês, aproveitando extensões maliciosas do navegador Chrome e serviços da loja de aplicativos Android para atingir indivíduos que realizam pesquisas sobre o conflito intercoreano.
Agora, no entanto, os pesquisadores da Mandiant descobriram que o APT43 está evoluindo de várias maneiras.
Novas táticas financeiras e sociais
Por um lado, o grupo agora está seguindo os passos de outros APTs norte-coreanos e se ramificando além da mera espionagem cibernética para roubar criptomoedas, descobriram os pesquisadores. Além de usar a moeda adquirida de forma ilícita para financiar o regime de Kim Jong-un, como fazem outros grupos, o APT43 também a utiliza para fortalecer suas próprias atividades, disseram.
O grupo está até mesmo dando um passo extra para lavar a criptomoeda por meio de serviços legítimos de mineração em nuvem, para que seja uma moeda limpa e difícil de rastrear – uma atividade que pode ser usada por outros grupos, mas passou despercebida até agora. disseram os pesquisadores.
“A lavagem de fundos e o ‘como’ foram a peça que faltava na equação”, observa Michael Barnhart, principal analista da Mandiant no Google Cloud. “Temos indicações de que o APT43 utiliza serviços específicos de aluguel de hash para lavar esses fundos minerando diferentes criptomoedas”.
Por uma pequena taxa, esses serviços fornecem poder de hash, que o APT43 usa para minerar criptomoeda para uma carteira selecionada pelo comprador sem qualquer associação baseada em blockchain aos pagamentos originais do comprador. Isso permite que o APT use fundos roubados para minerar uma criptomoeda diferente, disseram os pesquisadores. Ao gastar muito pouco, os agentes de ameaças saem com moeda não rastreada e limpa para fazer o que quiserem, explica Barnhart.
Além disso, o APT43 – embora tecnologicamente pouco sofisticado – conta com táticas de engenharia social avançadas e persistentes nas quais os agentes de ameaças criam personas falsas convincentes e exibem paciência na construção de relacionamentos com alvos durante várias semanas sem usar malware, disseram os pesquisadores.
“Nunca vi um APT tão bem-sucedido com essas novas técnicas”, observa Barnhart. “Eles fingem ser especialistas no assunto ou repórteres e fazem perguntas direcionadas – muitas vezes com a promessa de citar a vítima em um relatório ou artigo de notícias – e obtêm feedback com sucesso”.
De fato, em alguns casos, os invasores conseguiram convencer as vítimas a enviar análises e pesquisas geopolíticas proprietárias sem implantar nenhum malware, disseram os pesquisadores.
Isso se desvia do procedimento padrão para a maioria dos grupos de ameaças, permitindo que o APT43 gaste pouco esforço ou recursos na criação de malware e obtenha as informações que procura de maneira low-fi – simplesmente pedindo às vítimas, observa Barnhart.
Ataques cibernéticos de alto volume, alvos mutáveis
O APT43 mudou seus alvos e o malware que usa em campanhas ao longo dos anos em resposta às demandas do governo norte-coreano e às atividades de ciberespionagem que exige do grupo, de acordo com a Mandiant.
“APT43 finalmente modifica sua segmentação e táticas, técnicas e procedimentos (TTPs) para atender seus patrocinadores, incluindo a realização de crimes cibernéticos motivados financeiramente conforme necessário para apoiar o regime”, disseram os pesquisadores no relatório.
Por exemplo, antes de outubro de 2020, o grupo visava principalmente escritórios governamentais dos EUA e da Coreia do Sul, organizações diplomáticas e entidades relacionadas a think tanks com interesse em questões de política externa e segurança que afetam a península coreana. No ano seguinte, no entanto, o grupo mudou seu foco para os esforços de resposta ao COVID-19 na Coreia do Norte, visando verticais relacionadas à saúde e empresas farmacêuticas na Coreia do Sul, Estados Unidos, Europa e Japão.
Uma diferença notável que surgiu entre o grupo e outros atores de ameaças norte-coreanos é uma mudança recente para expandir, visando “usuários comuns” com base na “velocidade e volume absolutos dos ataques”, diz Joe Dobson, principal analista da Mandiant.
“Ao espalhar seu ataque por centenas, senão milhares, de vítimas, sua atividade se torna menos perceptível e mais difícil de rastrear do que atingir um alvo grande”, diz ele. “Seu ritmo de execução, combinado com sua taxa de sucesso, é alarmante.”
O APT43 está direcionando sua atividade de alto volume para entidades e organizações do governo, serviços empresariais e manufatura, bem como think tanks e organizações em educação e pesquisa relacionadas à política geopolítica e nuclear nos EUA, Coreia do Sul e Japão, disseram os pesquisadores .
Dadas as táticas avançadas de engenharia social e a tendência de perseguir indivíduos específicos e alvos de rede mais ampla, os pesquisadores aconselharam as organizações que podem estar em risco a compartilhar com seus funcionários “uma maior compreensão da higiene cibernética e maior conscientização”, diz Barnhart. “É importante conscientizar o pessoal sobre os TTPs desse ator de ameaça”, diz Barnhart.
Ele acrescenta que os e-mails falsificados do APT são altamente convincentes, o que os torna difíceis de detectar, mesmo para usuários experientes; assim, as organizações em risco devem estar em alerta máximo.
FONTE: DARK READING