Los grupos de amenazas de Corea del Norte utilizan cada vez más técnicas de vida (LOTL) y servicios de confianza para escapar de la detección, con una reciente campaña de Kimsuky que presenta el uso de scripts de PowerShell y el almacenamiento de datos en archivos de Dropbox, así como mejorando la seguridad operativa.
En la campaña, apodado “Deep # Drive” por Securonix Security Company, el grupo de amenazas utilizó registros de trabajo falsos, documentos de seguro y archivos de cripto para convencer a los usuarios de descargar y ejecutar un archivo de acceso directo con cremallera que reúne la información de configuración del sistema, luego realiza PowerShell y scripts .NET. Herramientas de ataque Descargar datos del sistema en carpetas Dropbox, luego descargue comandos y capacidades adicionales para un compromiso adicional.
Si bien los atacantes mostraron cierto interés en las rápidas victorias financieras, como apuntar a los usuarios de criptomonedas, en su mayor parte, el grupo de amenazas se centró en el robo de datos sensibles a las agencias gubernamentales y las empresas del sur, dijo Tim Peck, investigador principal en Securonix.
“Hemos observado evidencia de espionaje y motivación financiera, aunque observamos más el espionaje”, dijo. “Esto está alineado con la orientación histórica por Kimsuky de las agencias gubernamentales, empresas e industrias estratégicas de Corea del Sur”.
Los grupos de operaciones cibernéticas de Corea del Norte atacaron sistemáticamente a Corea del Sur y Estados Unidos, con agencias gubernamentales y empresas de Corea del Sur entre los objetivos más populares. En septiembre de 2024, el FBI advirtió que los grupos norcoreanos planearon lanzar un Elementos de ataques contra organizaciones con reservas de criptomonedas significativasY Kimsuky lanzó un Similares, varios pisos atacan contra objetivos de Corea del Sur El año pasado.
Un grupo prolífico
Kimsuky no es monolítico, pero tiene cinco grupos de amenazas superpuestos con lo que otras compañías consideran el mismo grupo, dijo que la compañía de inteligencia de amenazas ha registrado futuro. Un grupo tiende a centrarse en los sectores de salud y hoteles, por ejemplo, mientras que otro se centra en los mercados de criptomonedas.
A mediados de 2023, Kimsuky se convirtió en el grupo más prolífico de Corea del Norte. (Datos más recientes no disponibles.) Fuente: “Estrategia de estrategia cibernética de Corea del Norte registrada”
Los grupos Kimsuky representaban la mayor cantidad de ataques identificados a partir de origen de Corea del Norte entre 2021 y 2023, según Informe grabado de la “Ciber-Strategia registrada” del futuro. En 2024, los grupos continuaron explicando un alto volumen de ataques, dijo Mitch Haszard, analista principal de inteligencia de amenazas con un futuro registrado.
“Estos grupos lideran campañas de phishing de alto volumen, principalmente atacadas a individuos y organizaciones en Corea del Sur, mientras que a veces se dirigen a entidades en otros países”, dijo. “En la actividad que vemos, estos grupos parecen buscar un volumen, en lugar de operaciones más largas adaptadas a la lanza”.
Otros grupos norcoreanos conocidos, como Lázaro Y EnjambreNo es tan prolífico como los actores de la amenaza de Kimsuky. Mientras que algunos de estos grupos se centran más en la recopilación de información confidencial, casi todos también tienen motivación financiera.
Miles de víctimas?
En La campaña de la unidad profundaSiguiendo el compromiso de un sistema, los scripts de ataque del grupo Kimsuky descargan datos en la configuración del sistema a una de las carpetas de Dropbox. Aunque los investigadores de Securonix no pudieron recopilar información de todas las ubicaciones sospechosas de Dropbox, descubrieron signos de más de 8,000 archivos de configuración, aunque algunos parecen ser duplicados, dice Peck.
Aunque significa que probablemente provienen de las mismas organizaciones de víctimas, la campaña parece ser muy exitosa, dijo.
“Hubo dos factores que contribuyeron a la” singularidad “del archivo de configuración, el nombre de usuario y la dirección IP”, explica Peck. “Algunos nombres de usuario se asociaron con docenas de direcciones IP similares, lo que podría indicar un movimiento lateral por parte del atacante – [that is]infectando docenas de máquinas de la misma entidad. “
Los datos de un sistema de compromiso incluyen la dirección IP del host, la disponibilidad del sistema, los detalles del tipo de sistema operativo y la versión, cualquier software de seguridad instalado y una lista de procesos durante la ejecución.
Kimsuky mejora su OPSEC
La campaña también destacó las mejoras en los grupos de seguridad operativos del norte-coreanos. El grupo utilizó la autenticación basada en OOAUT en sus archivos Dropbox, evitando que el bloqueo de URL tradicional o las defensas basadas en la red siguieran los siguientes enlaces. Los actores de amenaza también eliminaron rápidamente los componentes de su infraestructura poco después de que los investigadores de Securonix comenzaron a investigar, dijo Peck de Securonix.
“Este nivel de conciencia operativa no siempre está presente en las campañas de malware centradas en el phishing”, dijo.
Para las empresas, las tácticas del grupo de amenazas enfatizan que las extensiones de archivos ocultas deben desactivarse, se deben evitar que los archivos de acceso directo se ejecuten en las carpetas de usuario y que solo los scripts de PowerShell firmados están autorizados para ejecutar. Estas tres contramedidas facilitan la detección de la actividad de los atacantes, dice Peck.
Además, las empresas en las industrias específicas, como los intercambios de criptomonedas y las agencias gubernamentales, deberían fortalecer su seguridad por correo electrónico y capacitar regularmente a los empleados sobre cómo identificar las amenazas de phishing, dijo que registró Haszard de Future.
“La mayoría de los ataques cibernéticos de Corea del Norte siempre comienzan con la ingeniería social y un phish”, dijo. “Las empresas deben asegurarse de que tengan una solución de seguridad por correo electrónico y capacitar regularmente a los empleados en amenazas de phishing, así como a las pruebas de phishing simuladas”.