Die nordkoreanische Staatsgruppe Kimusky wurde Anfang 2022 mit einer neuen Reihe bösartiger Aktivitäten in Verbindung gebracht, die sich gegen politische und diplomatische Einrichtungen in ihrem südlichen Gegenstück richten.
Das russische Cybersicherheitsunternehmen Kaspersky gab dem Cluster den Codenamen GoldDragon. Die Infektionsketten führen zur Verbreitung von Windows-Malware, die Dateilisten, Tastatureingaben und gespeicherte Anmeldedaten für den Webbrowser ausspäht.
Zu den potenziellen Opfern gehören südkoreanische Universitätsprofessoren, Forscher in Think Tanks und Regierungsbeamte.
Kimsuky, auch bekannt als Black Banshee, Thallium und Velvet Chollima, ist der Name einer produktiven nordkoreanischen APT-Gruppe (Advanced Persistent Threats), die es auf Einrichtungen in der ganzen Welt abgesehen hat, sich aber vor allem auf Südkorea konzentriert, um Informationen zu verschiedenen Themen zu sammeln, die für das Regime von Interesse sind.
Die Gruppe ist seit 2012 aktiv und hat in der Vergangenheit immer wieder Social-Engineering-Taktiken, Spear-Phishing und Watering-Hole-Angriffe eingesetzt, um die gewünschten Informationen von den Opfern zu erlangen.
Ende letzten Monats schrieb die Cybersecurity-Firma Volexity den Akteuren eine Geheimdienstmission zu, die darauf abzielte, E-Mail-Inhalte von Gmail und AOL über eine bösartige Chrome-Browsererweiterung namens Sharpext abzuschöpfen.
Die jüngste Kampagne folgt einem ähnlichen Modus Operandi, bei dem die Angriffssequenz über Spear-Phishing-Nachrichten mit in Makros eingebetteten Microsoft Word-Dokumenten eingeleitet wird, die angeblich Inhalte mit Bezug zu geopolitischen Themen in der Region enthalten.
Alternative Zugangswege nutzen HTML Application (HTA) und Compiled HTML Help (CHM) Dateien als Köder, um das System zu kompromittieren.
Unabhängig von der verwendeten Methode wird nach dem Erstzugriff ein Visual Basic Script von einem entfernten Server abgesetzt, das dazu dient, Fingerabdrücke auf dem Rechner zu hinterlassen und zusätzliche Nutzdaten abzurufen, darunter eine ausführbare Datei, die sensible Daten ausspionieren kann.
Das Neue an dem Angriff ist die Übermittlung der E-Mail-Adresse des Opfers an den Command-and-Control-Server (C2), wenn der Empfänger auf einen Link in der E-Mail klickt, um weitere Dokumente herunterzuladen. Enthält die Anfrage keine erwartete E-Mail-Adresse, wird ein harmloses Dokument zurückgesendet.
Um die Angriffskette weiter zu verkomplizieren, leitet der C2-Server der ersten Stufe die IP-Adresse des Opfers an einen anderen VBS-Server weiter, der sie dann mit einer eingehenden Anfrage vergleicht, die generiert wird, nachdem die Zielperson das Köderdokument geöffnet hat.
Die „Opferüberprüfungsmethode“ in den beiden C2-Servern stellt sicher, dass das VBScript nur dann ausgeliefert wird, wenn die Überprüfung der IP-Adresse erfolgreich war, was auf eine sehr gezielte Vorgehensweise hindeutet.
„Die Kimsuky-Gruppe entwickelt ihre Malware-Infektionsschemata ständig weiter und wendet neue Techniken an, um die Analyse zu erschweren“, sagt Kaspersky-Forscher Seongsu Park. „Das Hauptproblem bei der Verfolgung dieser Gruppe ist, dass es schwierig ist, eine vollständige Infektionskette zu erhalten.