Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware KGH Malware

KGH Malware

Med GoldSparrow i Malware
Oversæt til:
Dansk

Infosec-forskere har opdaget en ny angrebskampagne tilskrevet den nordkoreanske hackergruppe Kimsuky. Kampagnen var knyttet til gruppen takket være brugen af domæner, der er registreret på den samme IP-adresse, der tidligere er blevet registreret som en del af angrebene, der involverede BabyShark og AppleSeed-malware. Hackerne har primært fokuseret deres angreb på COVID-19-vaccineforskere, men der er også opdaget andre mål, såsom den sydkoreanske regering, FN's Sikkerhedsråd, forskningsinstitutioner og journalister.

Selvom nogle af Command-and-Control (C2, C&C) infrastrukturen muligvis er blevet genbrugt, er den malware, der udbredes, helt ny. Døbt KGH, det er en potent infosamler, der distribueres via phishing-e-mails med forgiftede Word-dokumenter. Dokumenter, der er malet med malware, er designet til at foregive at have spændende indhold, såsom et interview med en nordkoreansk defektor, for at tilskynde de målrettede brugere til at engagere sig med dem. Andre dokumenter indeholder angiveligt et brev rettet til Shinzo Abe, Japans tidligere premierminister.

I den første fase af angrebskæden indsættes en brugerdefineret læsser kaldet CSPY af forskerne ved Cybereason. Det har til opgave at udføre flere anti-analyser og anti-VM-foranstaltninger, der sikrer, at malware ikke køres i et sandkassemiljø. KGH Malware manipulerer også sine tidsstempler og filkompilering ved at flytte dem tilbage til 2016, en anden indsats mod potentiel analyse af cybersikkerhedsspecialister.

Hvad KGH selv angår, består den af flere dataindsamlingsmoduler. Inden den begynder at udføre sin truende funktionalitet, omdøber malware-truslen sine binære filer og sletter derefter de originale filer med den vigtigste nyttelast, der foregiver at være en legitim Windows-tjeneste. For at få forhøjede privilegier på det kompromitterede system kan KGH udføre en bypass-teknik til Windows 'brugerkontokontroltjeneste gennem SilentCleanup-opgaven. Når den er fuldt implementeret, kan KGH Malware hente data fra webbrowsere, mailklienter, WINSCP og Windows Credential Manager.

Trending

Mest sete

Indlæser...