Kimsuky è un’organizzazione APT che si ritiene provenga dalla Corea del Nord. L’organizzazione è molto abile nell’usare la complessa situazione geopolitica nel nord-est asiatico per creare esche e lancia frequentemente attacchi di phishing contro il governo sudcoreano e i think tank sudcoreani americani.
Questo articolo introdurrà a conoscere la tecnica di phishing dei documenti e lo strumento dannoso FlowerPower/Bobo Stealer utilizzato da Kimsuky.
Metodo di attacco documento/script
I tipi di documenti esca di Kimsuky sono principalmente documenti word/excel e hwp (documento creato da Hanword), accompagnati da una varietà di script per l’attacco. I tipi di script includono vba/vbs, hta, eps, wsf, js, powershell, ecc.
Documenti d’ufficio
Kimsuky utilizza principalmente macro vba word+malicious per attaccare, un metodo comune utilizzato dalla maggior parte delle organizzazioni APT e organizzazioni botnet, che è stato provato e testato nel tempo. Kimsuky utilizza una varietà di formati vba, che variano in base a obiettivi ed eventi diversi, a volte sono semplici perché devono eseguire solo semplici attività di download, a volte sono stati progettati ad hoc.
Ad esempio, nel marzo 2020, Kimsuky ha consegnato un documento esca denominato “Expert Column Manuscript Creation Form”. In questo documento, il comando powershell è stato inserito nella casella di input del modulo del progetto vba del documento e il comando è stato ottenuto ed eseguito tramite vba e infine è stato scaricato lo strumento dannoso FlowerPower. Quindi, nel giugno 2020, Kimsuky ha consegnato una lettera di invito esca intitolata “North Korea’s measures to strengthen nuclear war deterrence and South Korea’s response”, consentendo all’obiettivo di valutare e attendere con impazienza l’articolo scritto dalla 7a Commissione militare centrale della Corea del Nord. In questa vba è stata utilizzata la stessa tecnica. Poiché i comandi chiave non si trovano nella macro vba, è difficile rilevare le minacce direttamente rilevando staticamente la macro.
Anche l’attacco macro Excel 4.0 è notoriamente utilizzato nell’attacco di Kimsuky. Nel dicembre 2020, Kimsuky ha finto di essere la Federazione dei proprietari delle società di comunicazione coreane e ha consegnato alla vittima un documento Excel denominato “Illegal Use of Telephone Number Suspension System (UNMS) User Status Questionnaire” e ha utilizzato questo metodo di attacco.
In generale, la maggior parte di questi documenti mostrerà il modulo effettivo solo quando l’utente fa clic per abilitare il contenuto. Kimsuky ha impostato la pagina con il contenuto effettivo come nascosta in anticipo e ha visualizzato solo una pagina per richiedere all’utente di abilitare il contenuto e l’utente per visualizzare il contenuto effettivo aveva solamente questa scelta. Il risultato era nelle mani dell’aggressore, provocando l’esecuzione del codice dannoso.
L’iniezione remota del modello è comune nei documenti di ufficio di seconda generazione che utilizzano il formato xml. L’autore dell’attacco aggiunge l’origine del modello nelle impostazioni e imposta il campo Destinazione per scaricare file dannosi in remoto. In questo modo, quando l’utente di destinazione apre il documento, il software d’ufficio eseguirà automaticamente l’azione di download e caricherà il modello dannoso remoto.
Ad esempio, nell’aprile 2020, Kimsuky ha sfruttato il calore delle elezioni parlamentari coreane per consegnare un documento esca intitolato “Related to the 21st National Assembly Election”. Dopo l’apertura del documento, verrà caricato un modello dotm remoto contenente macro dannose. Solo quando il file dotm viene caricato correttamente, il software chiederà all’utente di abilitare la macro. Questo metodo separa il documento di phishing iniziale dal documento remoto contenente macro dannose e svolge un ruolo protettivo, poiché il documento iniziale non ha altri comportamenti dannosi se non per il caricamento del modello remoto.
Documenti PDF
Da maggio ad agosto di quest’anno, Kimsuky si è rivolto a file pdf dannosi con scappatoie e ha utilizzato la questione nord-sud come esca per attaccare il personale del governo sudcoreano
Questi pdf sono incorporati con script javascript dannosi nascosti, attivati dalla vulnerabilità di Adobe Acrobat CVE-2020-9715 e infine decrittografano i file pe (Portable Executable, formato di file eseguibile) e li caricano in memoria per l’esecuzione che scaricherà i successivi componenti malevoli.
FlowerPower / BoboStealer
Uno dei tipi di strumenti di script per il furto di segreti rilasciato da Kimsuky, utilizzando e-mail di phishing, è FlowerPower / BoboStealer, che prende il nome dalla stringa flower che è apparsa nel suo codice e dalla stringa bobo che è apparsa nel nome di dominio. Questo strumento è scritto in PowerShell e ha una struttura semplice: viene utilizzato per raccogliere varie informazioni di sistema e scaricare/eseguire codice PowerShell remoto.
Ad esempio, nel maggio di quest’anno, Kimsuky ha utilizzato le informazioni calde sulla ripresa del dialogo tra la Corea del Nord e gli Stati Uniti per fornire un documento esca chiamato “Constitution Day International Academic Forum”, e il download è stato un FlowerPower.
Innanzitutto, FlowerPower salva le informazioni di sistema come i file a cui si accede di recente, le directory dei file chiave, la configurazione del sistema operativo, gli elenchi dei processi e le directory comuni in file di registro e li crittografa. Successivamente, FlowerPower inizia a ricevere comandi C&C all’infinito e ogni volta che richiede C&C, carica i registri precedenti.
In ogni ciclo, FlowerPower scarica, decrittografa ed esegue un payload di codice PowerShell da C&C. Le sue funzioni includono la raccolta di documenti locali e l’esecuzione di file eseguibili exe. Il payload scaricato verrà eseguito come attività di background in PowerShell e il numero di attività in esecuzione contemporaneamente sarà limitato a meno di 3.
Inoltre, dopo aver eseguito il comando, PowerShell richiederà nuovamente a C&C di accedere a un file di risorse denominato del.php. Ciò indica a C&C di eliminare i download forniti in precedenza per evitare download ed esecuzioni ripetute:
hxxp://<dominio>/<path>/del.php?filename=<nome>
In generale, sebbene il codice del corpo FlowerPower non sia elaborato, comprende la funzione di controllo remoto perché può ricevere comandi PowerShell.
Come visto dunque Kimsuky ha un arsenale di armi diversificato, fa buon uso degli attacchi di phishing e svolge attività a lungo termine (APT). Le sue tattiche sono diverse ed eclettiche. Come modo per aggirare gli attacchi esterni ed entrare direttamente nella rete interna, gli attacchi di phishing sono stati ovviamente usati molto bene da Kimsuky, per i quali gli si può riconoscere il titolo di specializzato.