Nordkoreanische APT-Operation aufgedeckt

LinkedInXingPocketWhatsAppFlipboard

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyber-Angriffen, stellt eine aktuelle Untersuchung seines Research-Teams vor. Das Cybereason Nocturnus Team hat eine neue modulare Spyware-Suite mit dem Namen KGH_SPY, sowie einen neuen Malware-Stamm namens CSPY Downloader identifiziert.

Beide kommen bei Angriffen der Cyber-Spionagegruppe Kimsuky zum Einsatz, von der man annimmt, dass sie im Auftrag des nordkoreanischen Regimes operiert. 

Anzeige

Man konnte beobachten, dass die APT-Gruppe inzwischen auf ein breites Spektrum von Opfern abzielt, darunter Unternehmen des öffentlichen und privaten Sektors in den USA, Europa, Japan, Südkorea und Russland. Zu den anvisierten Organisationen gehören Pharma- und Forschungsunternehmen, die an COVID-19-Therapien arbeiten, Regierungs- und Verteidigungsorganisationen, Journalisten und verschiedene Menschenrechtsgruppen.

Die wichtigsten Ergebnisse:

  • Entdeckung einer neuen modularen Spyware-Suite:  KGH_SPY ist eine modulare Tool-Suite; sie bietet Angreifern Funktionen zum Auskundschaften, zum Keylogging, für den Datendiebstahl und zusätzliche Backdoor-Fähigkeiten.
  • Entdeckung einer verdeckt arbeitenden neuen (Stealth) Malware: Der CSPY Downloader ist ein Tool, das entwickelt wurde, um Analyse-Funktionen zu umgehen und zusätzliche Payloads herunterzuladen.
  • Neue Infrastruktur: Eine neu entdeckte Infrastruktur, die zwischen 2019-2020 registriert wurde; sie weist Überschneidungen mit einer anderen Kimsuky-Malware namens BabyShark auf. In der Vergangenheit wurde sie verwendet, um US-basierte Think Tanks ins Visier zu nehmen.
  • Anti-Forensik: Die im Report untersuchten Zeitstempel für die Erstellung und Kompilierung der Malware scheinen manipuliert und auf 2016 zurückdatiert worden zu sein, um forensische Ermittlungen zu vereiteln.
  • Ähnlichkeiten bei Verhalten und Code zu anderer Kimsuky-Malware: Die neu entdeckte Malware zeigt verschiedene Ähnlichkeiten im Verhalten und beim Code zu bereits bekannter Kimsuky-Malware, unter anderem: Code-Signierung mit widerrufenem EGIS- Zertifikat; gemeinsam genutzte Strings; File Naming Conventions, Algorithmen zur Entschlüsselung von Strings, PDB-Pfade, die auf Autoren/Projekte verweisen.
  • Von Antiviren-Lösungen nicht erkannt: Zum Zeitpunkt der Erstellung dieses Berichts werden einige der genannten Tools von keinem Antiviren-Anbieter erkannt, ausgenommen von Cybereason. 
  • Zu den früheren Zielen der Malware zählen: Pharma- und Forschungsunternehmen, die an COVID-19-Impfstoffen und -Therapien arbeiten, der UN-Sicherheitsrat, das südkoreanische Vereinigungsministerium, verschiedene Menschenrechtsorganisationen, das Korea Institute for Defense Analysis, Bildungseinrichtungen und akademische Organisationen, diverse Think Tanks, staatliche Forschungsinstitute, Journalisten, die über die Beziehungen zur koreanischen Halbinsel berichten sowie das südkoreanische Militär. 

Kimsuky (alias Velvet Chollima, Black Banshee und Thallium) ist seit 2012 aktiv und bekannt für seine komplexe Infrastruktur, die frei registrierte Domains, kompromittierte Domains und von der Gruppe registrierte private Domains nutzt. Das Cybereason Nocturnus Team beobachtete auch Überschneidungen in der Betriebssystem-Infrastruktur mit der BabyShark-Malware und Verbindungen zu Malware wie der AppleSeed-Backdoor. 

Die KGH_SPY-Suite scheint bösartige, in Word-Dokumente eingebundene Makros als Infektionsvektor zu nutzen. Die Malware umfasst verschiedene Komponenten, die zum Sammeln von Informationen, Ausführen beliebiger Befehle und Ausspionieren der Benutzeraktivitäten mit Hilfe eines Keyloggers und einer Backdoor-Komponente verwendet werden. Einige der Komponenten der KGH Spyware-Suite bleiben bislang von den Antiviren-Herstellern unentdeckt.

Der CSPY Downloader ist ein hochentwickeltes Tool mit umfangreichen Anti-Analyse- und Ausweichfunktionen, mit denen die Angreifer feststellen können, ob „die Luft rein ist“, bevor sie zusätzliche Payloads herunterladen. Neben den Phishing-Dokumenten, die sich auf Themen mit Bezug zur koreanischen Sprache konzentrieren, enthalten andere forensische Beweise, die in der Malware selbst eingebettet sind, koreanische Sprachschnipsel aus der Zeit der Erstellung der Malware.

Assaf Dahan, Senior Director und Head of Threat Research bei Cybereason erklärt: „Kimsuky verfügt über eine reiche und berühmt-berüchtigte Geschichte. Sie geht bis ins Jahr 2012 zurück, als Südkorea verstärkt ins Visier genommen wurde. In den letzten Jahren hat Kimsuky allerdings seine globale Reichweite vergrößert. Unsere neueste Entdeckung zeigt, dass Kimsuky gezielte Cyber-Spionagekampagnen gegen eine Reihe von Opfern, darunter Regierungen, Forschungsinstitute und Menschenrechtsgruppen, durchführt. Da die Malware recht neu ist, ist das tatsächliche Ausmaß der von ihr ausgehenden Bedrohung noch weitgehend unbekannt. Aber angesichts der Erfolgsbilanz von Kimsuky ist diese Spyware wahrscheinlich sowohl für Organisationen des öffentlichen als auch des privaten Sektors von großer Bedeutung und gibt Anlass zu Besorgnis.“ 

https://www.cybereason.com/


Anzeige

Weitere Artikel

Cybercrime
Neue Malware-Kampagne nimmt spanische Unternehmen ins Visier
Cybercrime
60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Cybercrime
Scammer stehlen Toncoins von Telegram-Nutzern
Cybercrime
Billig und plump – Kriminelle setzen auf neue Ransomware „Marke Eigenbau“
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.