Cómo la APT Kimsuky de Corea del Norte está evolucionando sus tácticas



Los investigadores encuentran diferencias en las operaciones de Kimsuky que los llevan a dividir el APT en dos grupos: CloudDragon y KimDragon.

Sara Peters contribuyó a este informe.

El grupo APT norcoreano Kimsuky está adoptando nuevas tácticas, técnicas y procedimientos en ataques globales, informan los investigadores cuyos hallazgos indican que las operaciones del grupo tienen diferencias suficientes para justificar su división en dos subgrupos más pequeños: CloudDragon y KimDragon.

Kimsuky no es un grupo nuevo, pero ha adoptado nuevos métodos para respaldar su misión de recopilar inteligencia. Una alerta del gobierno de EE. UU. Emitida en octubre de 2020 informó que el grupo había estado operando desde 2012 y a menudo emplea ingeniería social, spear-phishing y ataques de abrevadero para recopilar información de objetivos ubicados principalmente en Corea del Sur, Japón y EE. UU.

Un equipo de investigadores que observa a los grupos de APT de Corea del Norte ha recopilado evidencia que sugiere que existen varias distinciones significativas en la forma en que operan las diferentes facetas de Kimsuky. Hoy, en el evento virtual Black Hat Asia, Jhih-Lin Kuo y Zin-Cing Lao, ambos investigadores senior de inteligencia de amenazas en TeamT5, dividieron al grupo en dos grupos más pequeños según sus objetivos, malware e infraestructura, y compartieron detalles sobre cómo las operaciones de los grupos han evolucionado.

El grupo Kimsuky que Kaspersky divulgado en 2013 ha sido apodado KimDragon por el equipo El Kimsuky más conocido que se ve en los titulares de las noticias y en los informes de los proveedores es CloudDragon.

«Todavía hay algunas cosas que comparten juntos, pero también hay diferencias», dijo Kuo en la sesión informativa de hoy. Ambos se centran en Corea del Sur como su objetivo principal, además de en EE. UU. Ambos atacan a agencias gubernamentales y objetivos educativos como universidades y centros de investigación.

«Sin embargo, cuando miramos hacia atrás a (el) malware, están usando herramientas totalmente diferentes», continuó. CloudDragon se basa en malware que incluye TroiBomb, RoastMe, JamBog (AppleSeed), BabyShark y DongMulRAT (WildCommand). KimDragon utiliza variantes de malware: Lovexxx (variante GoldDragon), JinhoSpy (variante NavRAT), BoboStealer (FlowerPower) y MireScript.

Sus objetivos también variaron. CloudDragon tenía una huella geográfica más amplia, expandiéndose para atacar a Japón y varios países de la Unión Europea, mientras que KimDragon solo se había expandido a India. CloudDragon también tenía un alcance más amplio de objetivos industriales, que incluían instituciones financieras, empresas de energía, empresas de alta tecnología e industrias aeroespacial y de defensa.

«Aunque todas las APT norcoreanas están atacando a Corea del Sur, todavía tienen diferencias en otros países que también les interesan, y la industria objetivo también puede ser ligeramente diferente», dijo Kuo en una entrevista con Darkish Looking through.

Kuo y Lao centraron principalmente su charla en CloudDragon, que han observado adoptando ataques a la cadena de suministro, ataques multiplataforma y nuevas modificaciones a sus campañas de phishing.

«Un ataque a la cadena de suministro no es un trabajo fácil y siempre puede tener un gran impacto», dijo Lao sobre cómo esto subraya la evolución del grupo.

Nuevas técnicas de ataque
Entre agosto y octubre de 2020, CloudDragon lanzó un ataque a la cadena de suministro contra una empresa de la industria de las criptomonedas coreana. Los atacantes fueron tras la superficie de una billetera de hardware, que generalmente se especializa en seguridad pero necesita program para ayudar con blockchain en World wide web. Los atacantes crearon una versión maliciosa de su application de administración y la implementaron en el sitio world-wide-web oficial.

Este ataque apuntó a los usuarios de Windows, aunque Lao señaló que CloudDragon también apunta a los dispositivos móviles. El grupo implementó una aplicación maliciosa en Google Participate in Si una víctima inicia la aplicación y tiene habilitada la actualización automática, el malware se descargará sin previo aviso y cargará los datos del usuario en un servidor de comando y handle que pertenece a los atacantes. Los investigadores creen que el grupo fortalecerá su infraestructura utilizando la moneda virtual obtenida en el ataque.

«Los teléfonos inteligentes se han convertido en un nuevo objetivo de los grupos de APT, y CloudDragon no es una excepción», dijo Kuo, señalando cómo los atacantes están expandiendo más sus ataques desde computadoras de escritorio a dispositivos móviles. Algunos de los programas maliciosos que los investigadores vieron en los dispositivos Android tenían la capacidad de cargar archivos, ejecutar comandos de shell, enviar mensajes SMS y actualizarse, señaló. En el futuro, los investigadores predicen que los atacantes continuarán agregando funciones más poderosas, como la capacidad de tomar capturas de pantalla, realizar grabaciones de video clip y audio y rastrear la ubicación GPS de la víctima.

Para ilustrar esto, señaló una captura de pantalla del código de un complemento observado en el malware JamBog que indica que los atacantes están buscando la capacidad de grabar audio de los dispositivos de destino. Esto, combinado con la transición al malware móvil, indica que sus objetivos podrían estar acompañados por los atacantes las 24 horas del día, los 7 días de la semana.

Los investigadores también observaron que CloudDragon adoptaba una nueva e interesante técnica de phishing en la que los atacantes completan automáticamente los sitios web de phishing con contenido del sitio net legítimo que están tratando de imitar. Cuando una víctima abre un enlace malicioso, el sitio de phishing envía simultáneamente una solicitud al sitio website true, recupera el contenido, lo modifica para que sea malicioso y muestra el resultado en el sitio de phishing.

«El usuario no puede distinguir si está utilizando el sitio world wide web incorrecto», dijo Kuo. Este ataque «ProxyMirror» permite a los atacantes actualizar automáticamente el contenido de su sitio website malicioso, lo que decrease la cantidad de esfuerzo que tienen que dedicar a su desarrollo.

Kelly Sheridan es la editora de private de Darkish Looking through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique