Севернокорейската група за напреднали постоянни заплахи (APT), известна като Kimsuky, е наблюдавана да използва персонализиран зловреден софтуер, наречен RandomQuery, като част от операция за разузнаване и ексфилтриране на информация.
„Напоследък Kimsuky последователно разпространява персонализиран зловреден софтуер като част от разузнавателни кампании, за да даде възможност за последващи атаки“, казват изследователите от SentinelOne Александър Миленкоски и Том Хегел в публикуван днес доклад.
Според фирмата за киберсигурност продължаващата целенасочена кампания е насочена предимно към информационните служби, както и към организации, подкрепящи активисти за човешки права и севернокорейски дезертьори.
Kimsuky, активен от 2012 г. насам, е показал модели на насочване, които съответстват на оперативните мандати и приоритети на Северна Корея.
Мисиите за събиране на разузнавателна информация са включвали използването на разнообразен набор от зловреден софтуер, включително друга разузнавателна програма, наречена ReconShark, както беше подробно описано от SentinelOne по-рано този месец.
Последният клъстер на активност, свързан с групата, е започнал на 5 май 2023 г. и използва вариант на RandomQuery, който е специално разработен за преброяване на файлове и извличане на чувствителни данни.
RandomQuery, заедно с FlowerPower и AppleSeed, са сред най-често разпространяваните инструменти в арсенала на Kimsuky, като първият функционира като средство за кражба на информация и канал за разпространение на троянски коне за отдалечен достъп като TutRAT и xRAT.
Атаките започват с фишинг имейли, за които се твърди, че са от Daily NK, известно базирано в Сеул онлайн издание, което отразява събитията в Северна Корея, за да подтикнат потенциалните цели да отворят файл Microsoft Compiled HTML Help (CHM).
На този етап си струва да се отбележи, че CHM файловете са били използвани като примамка и от друг севернокорейски национален конгломерат, наречен ScarCruft.
Стартирането на CHM файла води до изпълнение на Visual Basic Script, който подава HTTP GET заявка към отдалечен сървър за извличане на полезния товар от втория етап – VBScript вариант на RandomQuery.
След това зловредният софтуер събира системни метаданни, текущи процеси, инсталирани приложения и файлове от различни папки, които се предават обратно на сървъра за управление и контрол (C2).
„Тази кампания също така демонстрира последователния подход на групата за доставяне на зловреден софтуер чрез CHM файлове“, казват изследователите.
„Тези инциденти подчертават постоянно променящия се пейзаж на севернокорейските групи за заплахи, чиито правомощия обхващат не само политически шпионаж, но и саботаж и финансови заплахи.“
Констатациите идват дни след като Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) разкри атака „watering hole“, организирана от Kimsuky, която включва създаването на подобна на уебмейл система, използвана от институти за изследване на националната политика, за да се събират идентификационните данни, въведени от жертвите.
Във връзка с това Kimsuky е свързан и с атаки, при които уязвими сървъри на Windows Internet Information Services (IIS) се използват за пускане на рамката за последващо експлоатиране Metasploit Meterpreter, която след това се използва за внедряване на зловреден софтуер, базиран на Go.
