Un grup de hackeri nord-coreeni cunoscut sub numele de Kimsuky sau Emerald Sleet a folosit în atacuri o nouă tactică de a compromite dispozitivele, prin care păcălesc victimele să deschidă PowerShell cu drepturi de administrator și să ruleze cod malițios.
Atacatorii se prezintă drept oficiali ai guvernului sud-coreean și construiesc o relație cu ținta înainte de a trimite un e-mail de tip spear-phishing cu un atașament PDF.
Echipa Microsoft Threat Intelligence a observat această tactică doar în atacuri limitate începând cu luna ianuarie a acestui an dar schimbarea reprezintă o nouă abordare din partea Kimsuky în compromiterea țintelor lor obișnuite pentru activități de spionaj.
Trucul Kimsuki pentru accesarea dispozitivelor
Pentru vizualizarea documentului, victima este îndrumată să acceseze un URL cu instrucțiuni de înregistrare a dispozitivului prin rularea terminalului PowerShell ca administrator și execuția unui cod furnizat de Kimsuky.
Dacă victima urmează instrucțiunile, codul malițios descarcă și instalează un utilitar de control de la distanță prin web browser împreună cu un fișier certificat ce conține un PIN.
Codul trimite apoi o solicitare web către un server al atacatorului pentru a înregistra dispozitivul victimei folosind certificatul și PIN-ul descărcate. Acest lucru permite atacatorului să acceseze dispozitivul și să fure datele.
Tactica observată de Microsoft reprezintă o variantă a metodei de inginerie socială cunoscută sub numele de ClickFix, prin care un atacator folosește mesaje false de eroare de la Google Chrome, Microsoft Word, și OneDrive.
Erorile false au rolul de a determina victima să copieze în clipboard o bucată de cod PowerShell și să o ruleze în Windows Command Prompt pentru a rezolva problema.
Tipul de ținte vizate de Kimsuki
Conform atacurilor observate de Microsoft, Emerald Sleet vizează în primul rând persoanele care lucrează în afaceri internaționale, cu un accent special pe cei a căror activitate se referă la Asia de Nord-Est, precum și ONG-uri, agenții și servicii guvernamentale și mass-media din America de Nord, America de Sud, Europa și Asia de Est.
Experții în securitate folosesc mai multe nume pentru această grupare de hackeri nord coreeni, printre care APT43, Black Banshee, Springtail, Thallium, și Velvet Chollima. Scopul grupării este colectarea de informații de la organizații în principal din Coreea de Sud, și din Statele Unite, Japonia, Rusia, și Europa.
Guvernul american spune că Kimsuki este activ cel puțin din 2012 iar țintele obișnuite sunt experți din diferite sectoare, precum producție, guvernamental, și medii de afaceri.
În general, gruparea și-a concentrat activitățile de colectare de informații pe probleme de politică externă și de securitate națională legate de peninsula coreeană, politica nucleară și sancțiuni.
Operațiunile grupului s-au suprapus cu cele ale altor actori nord-coreeni de spionaj cibernetic, probabil ca urmare a colaborărilor ad-hoc sau împărțirii de resurse.
