Actividades de ataque de Kimsuky dirigidas a organizaciones japonesas: JPCERT/CC Eyes
JPCERT/CC ha confirmado actividades de ataque dirigidas a organizaciones japonesas por parte de un grupo de ataque llamado Kimsuky en marzo de 2024. Este artículo presenta los métodos de ataque del grupo confirmados por JPCERT/CC.
Descripción general del ataque
En el ataque que identificamos, el atacante envió un correo electrónico de ataque dirigido haciéndose pasar por una organización diplomática y de seguridad. Se adjuntó al correo electrónico un archivo zip que contenía los siguientes archivos con extensiones dobles (se omiten los nombres de los archivos).
(1) [omitted].docx[a large number of spaces].exe
(2) [omitted].docx[a large number of spaces].docx
(3) [omitted].docx[a large number of spaces].docx
Para ocultar la extensión del archivo, cada nombre de archivo contiene una gran cantidad de espacios. El objetivo ejecuta el archivo EXE en (1) y, finalmente, esto provoca una infección de malware. La Figura 1 muestra el flujo después de ejecutar el archivo EXE.
Los archivos docx (2) y (3) son documentos señuelo. La siguiente sección explica el flujo de infección después de ejecutar el archivo EXE.
Flujo de infección
Cuando se ejecuta el archivo EXE (1), se descarga un archivo VBS desde una fuente externa y se ejecuta mediante wscript.exe. La figura 2 muestra el archivo VBS descargado.
El archivo VBS descarga PowerShell desde la fuente externa y llama a la función PokDoc con el siguiente parámetro.
PokDoc -Slyer [Destination URL]
Además, utiliza la tecla Ejecutar en el registro para configurar el archivo. C:\Usuarios\Público\Imágenes\desktop.ini.bak para que se inicie automáticamente a través de WScript.
Robo de información del dispositivo
El PowerShell descargado por el archivo VBS tiene una función para recopilar información del dispositivo. La Figura 3 muestra el PowerShell descargado.
Cuando la función PokDoc se ejecuta mediante el archivo VBS, se recopila la siguiente información sobre el dispositivo y los datos se envían a la URL proporcionada en el parámetro.
- Información del sistema
- Lista de procesos
- Información de la red
- Lista de archivos en carpetas de usuario específicas (Descargas, Documentos, Escritorio)
- Información de la cuenta de usuario
Con base en la información anterior, se supone que esto tiene como objetivo verificar si el dispositivo en el que se ejecutó el archivo EXE se encuentra en un entorno de análisis, como un sandbox.
Además, después de enviar la información sobre el dispositivo, se genera un archivo VBS con el nombre del archivo C:\Usuarios\Público\Imágenes\desktop.ini.bak Se crea y se ejecuta. La figura 4 muestra el archivo VBS que se creará.
El archivo VBS que se creará es similar al descrito anteriormente. Descarga PowerShell desde la fuente externa y llama a la función InfoKey con el siguiente parámetro.
InfoKey -ur [Destination URL]
registrador de teclas
El PowerShell descargado por el archivo VBS funciona como un keylogger. La Figura 5 muestra un ejemplo de PowerShell descargado.
Cuando se llama a la función InfoKey, el archivo C:\Usuarios\Público\Música\desktop.ini.bak Se crea un archivo y luego se guardan las pulsaciones de teclas robadas y la información del portapapeles. El contenido del archivo se envía a la URL proporcionada en el parámetro.
Ataques asociados
Se informa que Kimsuky está utilizando VBS y PowerShell presentados en este artículo para atacar a organizaciones en Corea del Sur. [1]y hay otro informe de un ataque similar basado en TTP [2]Por lo tanto, consideramos que Kimsuky también está detrás de este caso.
Para concluir
Aunque ha habido pocos informes de actividades de ataque de Kimsuky dirigidas a organizaciones en Japón, existe la posibilidad de que Japón también esté siendo atacado activamente. El informe más reciente dice que se utiliza malware en formato CHM para ejecutar el keylogger mencionado en este artículo [1]y debemos prestar atención a ataques similares en el futuro.
– Ciudad de Cine
(Traducido por Takumi Nakano)
Referencias
[1] AhnLab: Malware CHM que roba información de usuarios se distribuye en Corea
https://asec.ahnlab.com/es/65245/
[2] AhnLab: malware camuflado en archivo de documento HWP (Kimsuky)
https://asec.ahnlab.com/es/54736/