Malware KGH

I ricercatori di Infosec hanno rilevato una nuova campagna di attacco attribuita al gruppo di hacker nordcoreano Kimsuky. La campagna è stata legata al gruppo grazie all'utilizzo di domini registrati con lo stesso indirizzo IP che è stato registrato nell'ambito degli attacchi che hanno coinvolto i malware BabyShark e AppleSeed in precedenza. Gli hacker hanno concentrato il loro attacco principalmente sui ricercatori del vaccino COVID-19, ma sono stati rilevati anche altri obiettivi, come il governo sudcoreano, il Consiglio di sicurezza delle Nazioni Unite, gli istituti di ricerca e i giornalisti.

Sebbene alcune delle infrastrutture Command-and-Control (C2, C&C) possano essere state riutilizzate, il malware propagato è nuovo di zecca. Soprannominato KGH, è un potente raccoglitore di informazioni che viene distribuito tramite e-mail di phishing che trasportano documenti Word avvelenati. I documenti contenenti malware sono progettati per fingere di avere contenuti intriganti, come un'intervista con un disertore nordcoreano, per incoraggiare gli utenti mirati a interagire con loro. Altri documenti presumibilmente contengono una lettera indirizzata a Shinzo Abe, l'ex Primo Ministro del Giappone.

Durante la prima fase della catena di attacco, viene distribuito un caricatore personalizzato chiamato CSPY dai ricercatori di Cybereason. Ha il compito di eseguire diverse misure anti-analisi e anti-VM per garantire che il malware non venga eseguito in un ambiente sandbox. Il malware KGH manipola anche i suoi timestamp e la compilazione dei file riportandoli al 2016, un altro tentativo contro potenziali analisi da parte degli specialisti della sicurezza informatica.

Per quanto riguarda KGH stesso, è composto da diversi moduli di raccolta dati. Prima che inizi a eseguire la sua funzionalità minacciosa, la minaccia malware rinomina i suoi file binari e quindi elimina i file originali con il payload principale che finge di essere un servizio Windows legittimo. Per ottenere privilegi elevati sul sistema compromesso, KGH può eseguire una tecnica di bypass per il servizio di controllo dell'account utente di Windows tramite l'attività SilentCleanup. Una volta distribuito completamente, il malware KGH può ottenere dati da browser Web, client di posta, WINSCP e Windows Credential Manager.