I ricercatori di SentinelOne hanno osservato una campagna di spionaggio informatico di portata globale afferente al gruppo APT Kimsuky, che utilizza un nuovo malware di ricognizione chiamato ReconShark.
ReconShark sarebbe secondo i ricercatori una evoluzione di una famiglia di malware chiamata BabyShark già in uso dallo stesso gruppo nel 2018.
Il payload viene fornito tramite e-mail di spear phishing con collegamenti OneDrive che portano a download di documenti armati e all’esecuzione di macro malevole.
La matrice dell’attacco
Kimsuky è un gruppo APT (Advanced Persistent Threat) nation-state nordcoreano attivo almeno dal 2012 con una lunga lista di attacchi mirati in tutto il mondo per operazioni di spionaggio, prendendo di mira organizzazioni governative e centri di ricerca negli Stati Uniti, in Europa e in Asia. SentinelOne riferisce che l’attore della minaccia avrebbe ultimamente incentrato l’attenzione su vari argomenti geopolitici in corso e rilevanti per la guerra in corso tra Russia e Ucraina.
ReconShark
ReconShark abuserebbe di Windows Management Instrumentation (WMI) per raccogliere informazioni sul sistema infetto e effettuerebbe anche controlli specifici sui software di sicurezza in esecuzione sulla macchina per eluderne il rilevamento.
Per l’esfiltrazione dei dati di ricognizione il malware invierebbe tutto al server C2 tramite richieste HTTP POST. Un’altra capacità di ReconShark sarebbe anche quella di recuperare payload aggiuntivi dal server di comando e controllo.
“La capacità di ReconShark di esfiltrare informazioni preziose, come i meccanismi di rilevamento implementati e le informazioni sull’hardware, indica che ReconShark fa parte di un’operazione di ricognizione orchestrata da Kimsuky che consente successivi attacchi di precisione, possibilmente coinvolgendo malware appositamente progettati per eludere le difese e sfruttare i punti deboli della piattaforma“, commenta SentinelOne.
Modalità di distribuzione
ReconShark sarebbe in grado di distribuire e eseguire i payload in diversi modi. Il malware può scaricare direttamente un payload dal server C2 utilizzando l’utility “curl” ma può anche modificare il Windows Shortcut (file LNK) di applicazioni legittime (tra cui Microsoft Edge, Google Chrome e Firefox) oppure il modello di Office predefinito (%AppData%\Microsoft\Templates\Normal.dotm), per eseguire contemporaneamente ai file legittimi anche il codice dannoso.
Osservazioni
Come rimarcato dai ricercatori, i continui attacchi di Kimsuky e l’utilizzo del nuovo strumento di ricognizione, ReconShark, evidenziano la natura in evoluzione del panorama delle minacce nordcoreane. Pertanto occorre essere consapevoli delle tecniche e tattiche utilizzate dagli APT nation-state e prendere le precauzioni necessarie di protezione.