Malware de KGH
Los investigadores de Infosec han detectado una nueva campaña de ataque atribuida al grupo de hackers norcoreanos Kimsuky. La campaña se vinculó al grupo gracias al uso de dominios registrados a la misma dirección IP que se ha registrado como parte de los ataques que involucraron al malware BabyShark y AppleSeed anteriormente. Los piratas informáticos han centrado su ataque principalmente en los investigadores de la vacuna COVID-19, pero también se han detectado otros objetivos, como el gobierno de Corea del Sur, el Consejo de Seguridad de la ONU, instituciones de investigación y periodistas.
Aunque es posible que se haya reutilizado parte de la infraestructura de comando y control (C2, C&C), el malware que se propaga es completamente nuevo. Apodado KGH, es un potente recopilador de información que se distribuye a través de correos electrónicos de phishing que contienen documentos de Word envenenados. Los documentos con malware están diseñados para pretender tener contenido intrigante, como una entrevista con un desertor norcoreano, para alentar a los usuarios objetivo a interactuar con ellos. Otros documentos supuestamente contienen una carta dirigida a Shinzo Abe, el ex primer ministro de Japón.
Durante la primera etapa de la cadena de ataque, se implementa un cargador personalizado llamado CSPY por los investigadores de Cybereason. Tiene la tarea de llevar a cabo varias medidas anti-análisis y anti-VM para garantizar que el malware no se ejecute en un entorno de espacio aislado. El KGH Malware también manipula sus marcas de tiempo y la compilación de archivos desplazándolos a 2016, otro esfuerzo contra el posible análisis por parte de especialistas en ciberseguridad.
En cuanto a KGH en sí, se compone de varios módulos de recopilación de datos. Antes de que comience a ejecutar su funcionalidad amenazante, la amenaza de malware cambia el nombre de sus archivos binarios y luego borra los archivos originales con la carga útil principal que pretende ser un servicio legítimo de Windows. Para obtener privilegios elevados en el sistema comprometido, KGH puede realizar una técnica de omisión para el servicio de control de cuentas de usuario de Windows a través de la tarea SilentCleanup. Una vez implementado por completo, KGH Malware puede obtener datos de navegadores web, clientes de correo, WINSCP y Windows Credential Manager.
