Kimsuky

De CiberWiki

Kimsuky es un grupo de ciberespionaje con base en Corea del Norte que ha estado activo desde al menos 2012. Inicialmente, se enfocó en atacar entidades gubernamentales surcoreanas, think tanks e individuos expertos en varios campos, pero luego expandió sus operaciones a Estados Unidos, Rusia, Europa y las Naciones Unidas. La recopilación de inteligencia de Kimsuky se centra en cuestiones de política exterior y seguridad nacional relacionadas con la península coreana, la política nuclear y las sanciones. Se le atribuye la responsabilidad del compromiso de la Korea Hydro & Nuclear Power Co. en 2014, así como de otras campañas notables como Operation STOLEN PENCIL (2018) y Operation Smoke Screen (2019). Utiliza diversas técnicas, como manipulación de cuentas, adquisición de infraestructura, intermediario adversario, ejecución de scripts y extensiones de navegador para llevar a cabo sus operaciones. El grupo también ha sido asociado con otros nombres como Lazarus Group, y se le han atribuido varios alias y herramientas, como AppleSeed, BabyShark y Gold Dragon. Su actividad abarca una amplia gama de técnicas, desde ataques de phishing hasta el uso de herramientas y malware específicos como Mimikatz y PsExec para obtener y manipular información confidencial.

Etapas del último evidenciamiento

Basándonos en la información recopilada al diciembre del 2023 sobre los ataques del Grupo Kimsuky, se pueden identificar varias fases o etapas en sus operaciones. A continuación, se describen las etapas evidenciadas en los ataques:

  1. Fase de Inicio y Distribución:
    • Utilización de ataques de phishing: El grupo Kimsuky inicia sus ataques principalmente a través de ataques de phishing, utilizando correos electrónicos con archivos adjuntos maliciosos.
  2. Fase de Acceso Inicial:
    • Uso de malware de acceso directo en formato de archivo LNK: Aunque utilizan ataques de phishing para el acceso inicial, la mayoría de los ataques recientes implican el uso de malware de tipo acceso directo en formato de archivo LNK.
  3. Fase de Infección con AppleSeed:
    • Distribución de AppleSeed: AppleSeed, una puerta trasera, se utiliza para el control del sistema infectado. Se distribuye a menudo mediante un cuentagotas de JavaScript.
    • Cambios en la instalación de AppleSeed: Se ha observado un cambio en el método de instalación, utilizando un cuentagotas y verificando argumentos específicos durante la instalación.
  4. Variante AlphaSeed:
    • Desarrollo en Golang: AlphaSeed es una variante de malware desarrollada en Golang y tiene funciones similares a AppleSeed.
    • Utilización de ChromeDP para comunicaciones: A diferencia de AppleSeed, AlphaSeed utiliza ChromeDP para las comunicaciones con el servidor C&C.
  5. Uso de Metasploit Meterpreter:
    • Uso de Metasploit: El grupo ha utilizado Meterpreter, una puerta trasera proporcionada por Metasploit, para controlar sistemas infectados. Se han observado desarrollos tanto en Golang como en C++.
  6. Desarrollo de Malware VNC:
    • Utilización de TightVNC y HVNC (TinyNuke): El grupo desarrolla malware VNC, específicamente TightVNC y HVNC (TinyNuke), para controlar sistemas infectados.
    • Personalización de TightVNC: TightVNC se personaliza para permitir el uso de la función Reverse VNC de manera independiente en el entorno infectado.
  7. Conclusión y Recomendaciones:
    • Persistencia en Ataques de Phishing: El grupo Kimsuky persiste en lanzar ataques de phishing, utilizando archivos de documentos adjuntos.
    • Uso de Servicios de Escritorio Remoto: Además de RDP, el grupo utiliza servicios de escritorio remoto en Google Chrome.

Rastreo e Historia

A lo largo de su historia desde 2013, el Grupo Kimsuky, respaldado por Corea del Norte, ha evolucionado en sus tácticas y técnicas para llevar a cabo sus operaciones de ciberespionaje. Inicialmente, dirigieron sus ataques a institutos de investigación en Corea del Sur antes de expandirse hacia objetivos corporativos en 2014. Desde 2017, sus actividades han trascendido las fronteras de Corea del Sur, y el grupo ha implementado persistentemente ataques de phishing contra sectores clave como defensa nacional, industrias de defensa, medios de comunicación y sectores académicos. El uso recurrente de ataques de phishing para el acceso inicial ha evolucionado hacia el empleo de malware de acceso directo, particularmente el persistente AppleSeed, distribuido mediante cuentagotas de JavaScript. Además, se ha observado una variante denominada AlphaSeed desarrollada en Golang. La longevidad del grupo se destaca por la continuidad en el uso de herramientas como Meterpreter y la expansión hacia el control remoto mediante servicios como Chrome Remote Desktop. A lo largo de los años, han mantenido la persistencia mediante cambios en la instalación de AppleSeed y la adaptación de nuevas técnicas, indicando una amenaza persistente y en constante evolución.

Recomendaciones de Seguridad:

  • Verificación cuidadosa de remitentes de correos electrónicos.
  • Evitar abrir archivos de fuentes desconocidas.
  • Aplicar parches de seguridad y mantener actualizados los sistemas operativos y programas.
  • Actualizar software de seguridad a la última versión.