Kimsuky, il gruppo APT cresce le sue capacità con un nuovo malware

I ricercatori di SentinelOne hanno osservato una campagna di spionaggio informatico di portata globale afferente al gruppo APT Kimsuky, che utilizza un nuovo malware di ricognizione chiamato ReconShark.

ReconShark sarebbe secondo i ricercatori una evoluzione di una famiglia di malware chiamata BabyShark già in uso dallo stesso gruppo nel 2018.

Il payload viene fornito tramite e-mail di spear phishing con collegamenti OneDrive che portano a download di documenti armati e all’esecuzione di macro malevole.

Esempio di documento armato (Fonte SentinelOne)

La matrice dell’attacco

Kimsuky è un gruppo APT (Advanced Persistent Threat) nation-state nordcoreano attivo almeno dal 2012 con una lunga lista di attacchi mirati in tutto il mondo per operazioni di spionaggio, prendendo di mira organizzazioni governative e centri di ricerca negli Stati Uniti, in Europa e in Asia. SentinelOne riferisce che l’attore della minaccia avrebbe ultimamente incentrato l’attenzione su vari argomenti geopolitici in corso e rilevanti per la guerra in corso tra Russia e Ucraina.

ReconShark

ReconShark abuserebbe di Windows Management Instrumentation (WMI) per raccogliere informazioni sul sistema infetto e effettuerebbe anche controlli specifici sui software di sicurezza in esecuzione sulla macchina per eluderne il rilevamento.

Enumerazione degli strumenti di sicurezza (Fonte SentinelOne)

Per l’esfiltrazione dei dati di ricognizione il malware invierebbe tutto al server C2 tramite richieste HTTP POST. Un’altra capacità di ReconShark sarebbe anche quella di recuperare payload aggiuntivi dal server di comando e controllo.

La capacità di ReconShark di esfiltrare informazioni preziose, come i meccanismi di rilevamento implementati e le informazioni sull’hardware, indica che ReconShark fa parte di un’operazione di ricognizione orchestrata da Kimsuky che consente successivi attacchi di precisione, possibilmente coinvolgendo malware appositamente progettati per eludere le difese e sfruttare i punti deboli della piattaforma“, commenta SentinelOne.

Modalità di distribuzione

ReconShark sarebbe in grado di distribuire e eseguire i payload in diversi modi. Il malware può scaricare direttamente un payload dal server C2 utilizzando l’utility “curl” ma può anche modificare il Windows Shortcut (file LNK) di applicazioni legittime (tra cui Microsoft Edge, Google Chrome e Firefox) oppure il modello di Office predefinito (%AppData%\Microsoft\Templates\Normal.dotm), per eseguire contemporaneamente ai file legittimi anche il codice dannoso.

Modifica dei file LNK (Fonte SentinelOne)
Distribuzione di un modello Office malevolo (Fonte SentinelOne)

Osservazioni

Come rimarcato dai ricercatori, i continui attacchi di Kimsuky e l’utilizzo del nuovo strumento di ricognizione, ReconShark, evidenziano la natura in evoluzione del panorama delle minacce nordcoreane. Pertanto occorre essere consapevoli delle tecniche e tattiche utilizzate dagli APT nation-state e prendere le precauzioni necessarie di protezione.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.