Grupo ligado à Coreia do Norte lança ciberataque com oito fases à Coreia do Sul

O grupo de ameaças Kimsuky, conhecido pela sua ligação à Coreia do Norte, adotou uma cadeia de ataque com oito fases, através da qual os cibercriminosos abusam de serviços cloud legítimos e entregam malware, tendo como objetivo conduzir ciberespionagem e crimes financeiros contra entidades da Coreia do Sul.

Segundo os investigadores da Securonix, a campanha atribuída ao grupo – batizada de “DEEP#GOSU” – assenta numa estratégia de “viver da terra”. Os operadores de ciberespionagem utilizam comandos para instalar uma variedade de montagens .NET, que remete para componentes de código legítimos para aplicações .NET, para criar a base do kit de ferramentas do invasor.

Para conduzir operações maliciosas, o Kimsuky recorre também a ficheiros LNK anexados a emails, downloads de scripts de comando do Dropbox e código escrito em PowerShell e VBScript.

Geralmente, os típicos ciberataques utilizam cinco ou menos fases; no entanto, a campanha DEEP#GOSU baseia-se em oito. Oleg Kolesnikov, vice-presidente de investigação de ameaças da Securonix, explica que algumas das ferramentas podem ser detetadas por scanners antivírus e outras tecnologias defensivas, mas os invasores procuram ativamente evitar a deteção.

“Havia muitas componentes e cargas diferentes, e diferentes componentes de carga tinham diferentes taxas de deteção de scanner”, esclarece Kolesnikov. “Como os invasores usaram ativamente técnicas de evasão e interrupção de ferramentas de segurança – incluindo o desligamento de ferramentas de segurança e a adição de cargas úteis a exclusões, entre outras – o número de scanners que detetaram isto foi provavelmente menos relevante neste caso”.

O grupo Kimsuky é conhecido igualmente como APT43, Emerald Sleet e Velvet Chollima, tendo intensificado a sua atividade o ano passado com um maior foco em criptomoedas, para além do seu objetivo tradicional de ciberespionagem.

Embora a análise de ameaças da Securonix evidencie uma ligeira evolução do grupo, estes cibercriminosos são notórios pelos seus ataques de spearphishing e não necessariamente pela sua sofisticação técnica.

“As cargas de malware… representam uma ameaça sofisticada e de várias fases, projetada para operar furtivamente em sistemas Windows, especialmente do ponto de vista de monitorização de rede”, afirmam os três investigadores que realizaram a análise. “Cada fase foi criptografada utilizando AES e uma senha comum e IV [vetor de inicialização] que deve minimizar as redes, ou as deteções de flat file scanning”.

A primeira etapa do ataque é iniciada com a abertura de um ficheiro arquivo LNK anexado a um email, que desencadeia o download de código do PowerShell do Dropbox. De seguida, o código executado durante a segunda fase procede ao download de scripts adicionais do Dropbox e solicita que o sistema comprometido instale um Trojan de acesso remoto, o TutClient, na terceira fase.

Os investigadores da Securonix defendem na sua análise que a utilização intensa do Dropbox e do Google nas fases posteriores ajuda a fugir à deteção.

“Toda a comunicação C2 é feita através de serviços legítimos, como o Dropbox ou o Google Docs, permitindo que o malware se misture sem ser detetado ao tráfego normal da rede”, escreveram. “Como estas cargas foram extraídas de fontes remotas como o Dropbox, isto permitiu que os mantenedores do malware atualizassem dinamicamente as suas funcionalidades ou implantassem módulos adicionais sem uma interação direta com o sistema”.

Para além disto, as fases posteriores do ataque assentam na instalação de um script que é executado de forma aleatória numa questão de horas, procurando ajudar na monitorização e controlo dos sistemas. A etapa final monitoriza a atividade do utilizador ao registar as teclas digitadas no sistema comprometido.

As taxas de deteção no que diz respeito às fases iniciais do ataque variam de 5% a 45% para a segurança baseada em host. No entanto, a análise revela que as as plataformas de segurança de rede podem ter alguma dificuldade na deteção das etapas posteriores do ataques, uma vez que os cibercriminosos do Kimsuky recorrem a tráfego criptografado, serviços legítimos de transferência de ficheiros em cloud e componentes .NET.

“Na nossa experiência, em casos como este, os antivírus atualizados podem não ser suficientes porque os comportamentos exibidos incluem a interrupção e a evasão de ferramentas de segurança”, adverte Kolesnikov. “A nossa recomendação é que as organizações aproveitem a defesa em profundidade para não dependerem apenas de uma ferramenta de segurança específica”.