KGH Malware
Infosec-onderzoekers hebben een nieuwe aanvalscampagne ontdekt die wordt toegeschreven aan de Noord-Koreaanse hackergroep Kimsuky. De campagne werd aan de groep gekoppeld dankzij het gebruik van domeinen die waren geregistreerd op hetzelfde IP-adres dat eerder werd geregistreerd als onderdeel van de aanvallen met de BabyShark- en AppleSeed-malware. De hackers hebben hun aanval voornamelijk gericht op COVID-19-vaccinonderzoekers, maar er zijn ook andere doelen gedetecteerd, zoals de Zuid-Koreaanse regering, de VN-Veiligheidsraad, onderzoeksinstellingen en journalisten.
Hoewel een deel van de Command-and-Control-infrastructuur (C2, C&C) mogelijk is hergebruikt, is de verspreide malware gloednieuw. Met de naam KGH is het een krachtige informatie-verzamelaar die wordt verspreid via phishing-e-mails met vergiftigde Word-documenten. De met malware doorspekte documenten zijn ontworpen om te doen alsof ze intrigerende inhoud bevatten, zoals een interview met een Noord-Koreaanse overloper, om de beoogde gebruikers aan te moedigen om met hen om te gaan. Andere documenten bevatten vermoedelijk een brief gericht aan Shinzo Abe, de voormalige premier van Japan.
Tijdens de eerste fase van de aanvalsketen wordt een custom loader genaamd CSPY door de onderzoekers van Cybereason ingezet. Het is belast met het uitvoeren van verschillende anti-analyse- en anti-VM-maatregelen om ervoor te zorgen dat de malware niet in een sandbox-omgeving wordt uitgevoerd. De KGH Malware manipuleert ook de tijdstempels en het compileren van bestanden door ze terug te verschuiven naar 2016, een andere poging tegen mogelijke analyse door cybersecurity-specialisten.
Wat KGH zelf betreft, het bestaat uit verschillende gegevensverzamelende modules. Voordat het zijn bedreigende functionaliteit begint uit te voeren, hernoemt de malwarebedreiging zijn binaire bestanden en verwijdert vervolgens de originele bestanden met de belangrijkste payload die zich voordoet als een legitieme Windows-service. Om hogere rechten op het gecompromitteerde systeem te krijgen, kan KGH een bypass-techniek uitvoeren voor de Windows 'User Account Control-service via de SilentCleanup-taak. Eenmaal volledig geïmplementeerd, kan de KGH Malware gegevens verkrijgen van webbrowsers, e-mailclients, WINSCP en Windows Credential Manager.
