KGH Malware
Os pesquisadores de infosec detectaram uma nova campanha de ataque atribuída ao grupo de hackers norte-coreano Kimsuky. A campanha foi vinculada ao grupo graças ao uso de domínios registrados no mesmo endereço IP que foi registrado como parte dos ataques envolvendo o malware BabyShark e AppleSeed anteriormente. Os hackers concentraram seu ataque principalmente nos pesquisadores da vacina COVID-19, mas outros alvos também foram detectados, como o governo sul-coreano, o Conselho de Segurança da ONU, instituições de pesquisa e jornalistas.
Embora parte da infraestrutura de Comando e Controle (C2, C&C) possa ter sido reutilizada, o malware propagado é novo. Chamado de KGH, é um potente coletor de informações que está sendo distribuído por meio de e-mails de phishing contendo documentos do Word envenenados. Os documentos com malware são projetados para fingir ter conteúdo intrigante, como uma entrevista com um desertor norte-coreano, para encorajar os usuários-alvo a se envolverem com eles. Outros documentos supostamente contêm uma carta endereçada a Shinzo Abe, o ex-primeiro-ministro do Japão.
Durante o primeiro estágio da cadeia de ataque, um carregador personalizado chamado CSPY pelos pesquisadores da Cybereason é implantado. Ele tem a tarefa de realizar várias medidas anti-análise e anti-VM, garantindo que o malware não seja executado em um ambiente sandbox. O KGH Malware também manipula seus carimbos de data / hora e compilação de arquivos, mudando-os de volta para 2016, outro esforço contra a análise potencial por especialistas em segurança cibernética.
Quanto ao KGH , ele é composto por vários módulos de coleta de dados. Antes de começar a executar sua funcionalidade ameaçadora, a ameaça de malware renomeia seus binários e exclui os arquivos originais com a carga útil principal fingindo ser um serviço legítimo do Windows. Para obter privilégios elevados no sistema comprometido, o KGH pode executar uma técnica de desvio para o serviço de Controle de Conta de Usuário do Windows por meio da tarefa SilentCleanup. Depois de totalmente implantado, o KGH Malware pode obter dados de navegadores da Web, clientes de e-mail, WINSCP e Windows Credential Manager.
