Home Ciberguerra Ciberdelincuentes norcoreanos de Kimsuky, atacan de nuevo, con un malware de reconocimiento...

Ciberdelincuentes norcoreanos de Kimsuky, atacan de nuevo, con un malware de reconocimiento avanzado

El grupo norcoreano de amenazas persistentes avanzadas (APT) conocido como Kimsuky ha sido observado utilizando una pieza de malware personalizado llamado RandomQuery como parte de una operación de reconocimiento y exfiltración de información.

Según la empresa de ciberseguridad, la campaña se dirige principalmente a servicios de información y a organizaciones que apoyan a activistas de derechos humanos y a desertores norcoreanos.

Kimsuky, activo desde 2012, ha mostrado patrones de ataque que se alinean con los mandatos y prioridades operativas de Corea del Norte.

Las misiones de recopilación de inteligencia han implicado el uso de un conjunto diverso de malware, incluido otro programa de reconocimiento llamado ReconShark, como detalló SentinelOne a principios de este mes.

El último grupo de actividad asociado al grupo comenzó el 5 de mayo de 2023 y utiliza una variante de RandomQuery diseñada específicamente para enumerar archivos y desviar datos confidenciales.

RandomQuery, junto con FlowerPower y AppleSeed, se encuentran entre las herramientas distribuidas con más frecuencia en el arsenal de Kimsuky, y la primera funciona como un ladrón de información y un conducto para distribuir troyanos de acceso remoto como TutRAT y xRAT.

Los ataques comienzan con correos electrónicos de phishing que pretenden ser del Daily NK, una destacada publicación en línea con sede en Seúl que cubre los asuntos de Corea del Norte, para inducir a los objetivos potenciales a abrir un archivo de Ayuda HTML compilada (CHM) de Microsoft.

Cabe señalar que los archivos CHM también han sido utilizados como señuelo por otro actor norcoreano conocido como ScarCruft.

Al abrir el archivo CHM, se ejecuta un script de Visual Basic que envía una solicitud HTTP GET a un servidor remoto para recuperar la carga útil de la segunda etapa, una versión VBScript de RandomQuery.

A continuación, el malware recopila metadatos del sistema, procesos en ejecución, aplicaciones instaladas y archivos de diferentes carpetas, todo lo cual se transmite al servidor de mando y control (C2).

Los hallazgos llegan días después de que el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) descubriera un ataque de tipo watering hole montado por Kimsuky que consiste en configurar un sistema de correo web similar al utilizado por los institutos de investigación de política nacional para recopilar las credenciales introducidas por las víctimas.

En un hecho relacionado, Kimsuky también ha sido vinculado a ataques que utilizan como arma servidores Windows Internet Information Services (IIS) vulnerables para soltar el marco de post-explotación Metasploit Meterpreter, que luego se utiliza para desplegar un malware proxy basado en Go.