Skip to main content

Actividades de ataque de Kimsuky dirigidas a organizaciones japonesas: JPCERT/CC Eyes

julio 8, 2024


JPCERT/CC ha confirmado actividades de ataque dirigidas a organizaciones japonesas por parte de un grupo de ataque llamado Kimsuky en marzo de 2024. Este artículo presenta los métodos de ataque del grupo confirmados por JPCERT/CC.

Descripción general del ataque

En el ataque que identificamos, el atacante envió un correo electrónico de ataque dirigido haciéndose pasar por una organización diplomática y de seguridad. Se adjuntó al correo electrónico un archivo zip que contenía los siguientes archivos con extensiones dobles (se omiten los nombres de los archivos).

(1) [omitted].docx[a large number of spaces].exe
(2) [omitted].docx[a large number of spaces].docx
(3) [omitted].docx[a large number of spaces].docx

Para ocultar la extensión del archivo, cada nombre de archivo contiene una gran cantidad de espacios. El objetivo ejecuta el archivo EXE en (1) y, finalmente, esto provoca una infección de malware. La Figura 1 muestra el flujo después de ejecutar el archivo EXE.

Figura 1: Flujo después de ejecutar el archivo EXE

Los archivos docx (2) y (3) son documentos señuelo. La siguiente sección explica el flujo de infección después de ejecutar el archivo EXE.

Flujo de infección

Cuando se ejecuta el archivo EXE (1), se descarga un archivo VBS desde una fuente externa y se ejecuta mediante wscript.exe. La figura 2 muestra el archivo VBS descargado.

Figura 2: Archivo VBS descargado

El archivo VBS descarga PowerShell desde la fuente externa y llama a la función PokDoc con el siguiente parámetro.

PokDoc -Slyer [Destination URL]

Además, utiliza la tecla Ejecutar en el registro para configurar el archivo. C:\Usuarios\Público\Imágenes\desktop.ini.bak para que se inicie automáticamente a través de WScript.

Robo de información del dispositivo

El PowerShell descargado por el archivo VBS tiene una función para recopilar información del dispositivo. La Figura 3 muestra el PowerShell descargado.

Figura 3: PowerShell con la función PokDoc descargada

Cuando la función PokDoc se ejecuta mediante el archivo VBS, se recopila la siguiente información sobre el dispositivo y los datos se envían a la URL proporcionada en el parámetro.

  • Información del sistema
  • Lista de procesos
  • Información de la red
  • Lista de archivos en carpetas de usuario específicas (Descargas, Documentos, Escritorio)
  • Información de la cuenta de usuario

Con base en la información anterior, se supone que esto tiene como objetivo verificar si el dispositivo en el que se ejecutó el archivo EXE se encuentra en un entorno de análisis, como un sandbox.
Además, después de enviar la información sobre el dispositivo, se genera un archivo VBS con el nombre del archivo C:\Usuarios\Público\Imágenes\desktop.ini.bak Se crea y se ejecuta. La figura 4 muestra el archivo VBS que se creará.

Figura 4: Archivo VBS a crear

El archivo VBS que se creará es similar al descrito anteriormente. Descarga PowerShell desde la fuente externa y llama a la función InfoKey con el siguiente parámetro.

InfoKey -ur [Destination URL]

registrador de teclas

El PowerShell descargado por el archivo VBS funciona como un keylogger. La Figura 5 muestra un ejemplo de PowerShell descargado.

Figura 5: PowerShell que contiene la función InfoKey descargada

Cuando se llama a la función InfoKey, el archivo C:\Usuarios\Público\Música\desktop.ini.bak Se crea un archivo y luego se guardan las pulsaciones de teclas robadas y la información del portapapeles. El contenido del archivo se envía a la URL proporcionada en el parámetro.

Ataques asociados

Se informa que Kimsuky está utilizando VBS y PowerShell presentados en este artículo para atacar a organizaciones en Corea del Sur. [1]y hay otro informe de un ataque similar basado en TTP [2]Por lo tanto, consideramos que Kimsuky también está detrás de este caso.

Para concluir

Aunque ha habido pocos informes de actividades de ataque de Kimsuky dirigidas a organizaciones en Japón, existe la posibilidad de que Japón también esté siendo atacado activamente. El informe más reciente dice que se utiliza malware en formato CHM para ejecutar el keylogger mencionado en este artículo [1]y debemos prestar atención a ataques similares en el futuro.

– Ciudad de Cine
(Traducido por Takumi Nakano)

Referencias

[1] AhnLab: Malware CHM que roba información de usuarios se distribuye en Corea
https://asec.ahnlab.com/es/65245/

[2] AhnLab: malware camuflado en archivo de documento HWP (Kimsuky)
https://asec.ahnlab.com/es/54736/



Source link

Translate »