El grupo Kimsuky vinculado a Corea del Norte cambia a archivos de ayuda de HTML compilados en ciberataques en curso

Luis Quiles

marzo 24, 2024

Uncategorized, Ciber espionaje, Inteligencia artificial

El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky (también conocido como Black Banshee, Emerald Sleet o Springtail) ha sido observado cambiando sus tácticas, aprovechando archivos de Ayuda HTML compilados (CHM) como vectores para entregar malware y recopilar datos sensibles.

Kimsuky, activo desde al menos 2012, se sabe que tiene como objetivo entidades ubicadas en Corea del Sur, así como en América del Norte, Asia y Europa.

Según Rapid7, las cadenas de ataque han aprovechado documentos de Microsoft Office manipulados, archivos ISO y archivos de acceso directo de Windows (LNK), con el grupo también empleando archivos CHM para desplegar malware en hosts comprometidos.

La firma de ciberseguridad ha atribuido la actividad a Kimsuky con moderada confianza, citando técnicas similares observadas en el pasado.

«Si bien originalmente diseñados para documentación de ayuda, los archivos CHM también han sido explotados con fines maliciosos, como la distribución de malware, porque pueden ejecutar JavaScript al abrirse», dijo la empresa.

El archivo CHM se propaga dentro de un archivo ISO, VHD, ZIP o RAR, y al abrirlo se ejecuta un Script de Visual Basic (VBScript) para establecer persistencia y comunicarse con un servidor remoto para obtener una carga útil de próxima etapa responsable de recopilar y extraer datos sensibles.

Rapid7 describió los ataques como continuos y en evolución, dirigidos a organizaciones con sede en Corea del Sur. También identificó una secuencia de infección alternativa que emplea un archivo CHM como punto de partida para dejar caer archivos por lotes encargados de recopilar la información y un script de PowerShell para conectarse al servidor C2 y transferir los datos.

«El modus operandi y la reutilización de código y herramientas están mostrando que el actor de amenazas está utilizando activamente y refinando/rediseñando sus técnicas y tácticas para recopilar inteligencia de las víctimas», dijo.

El desarrollo se produce cuando Symantec, propiedad de Broadcom, reveló que los actores de Kimsuky están distribuyendo malware que se hace pasar por una aplicación de una entidad pública coreana legítima.

«Una vez comprometido, el dropper instala un malware de puerta trasera llamado Endoor», dijo Symantec. «Esta amenaza permite a los atacantes recopilar información sensible de la víctima o instalar malware adicional».

Vale la pena señalar que Endoor, basado en Golang, junto con Troll Stealer (también conocido como TrollAgent), ha sido recientemente desplegado en relación con ataques cibernéticos que tienen como objetivo a usuarios que descargan programas de seguridad desde el sitio web de una asociación relacionada con la construcción en Corea.

Los hallazgos también llegan en medio de una investigación iniciada por las Naciones Unidas sobre 58 presuntos ciberataques llevados a cabo por actores estatales de Corea del Norte entre 2017 y 2023, que generaron $3 mil millones en ingresos ilegales para ayudar a desarrollar aún más su programa de armas nucleares.

«Se informa que el alto volumen de ciberataques por parte de grupos de piratas informáticos subordinados a la Oficina General de Reconocimiento continuó», dijo el informe. «Las tendencias incluyen el objetivo de empresas de defensa y cadenas de suministro y, cada vez más, el compartir infraestructura y herramientas».

La Oficina General de Reconocimiento (OGR) es el principal servicio de inteligencia exterior de Corea del Norte, que comprende los grupos de amenazas ampliamente rastreados como el Grupo Lazarus, y sus elementos subordinados, Andariel y BlueNoroff, y Kimsuky.

«Kimsuky ha mostrado interés en utilizar inteligencia artificial generativa, incluidos modelos de lenguaje grandes, potencialmente para programar o escribir correos electrónicos de phishing», agregó el informe. «Se ha observado que Kimsuky utiliza ChatGPT».

Tags :