Conosciuto anche come Black Banshee, Velvet Chollima e Thallium, si ritiene che l’avversario sia stato attivo almeno dal 2012, prendendo di mira principalmente i think tank in Corea del Sud, ma più recentemente espandendo le operazioni negli Stati Uniti, in Europa e in Russia.
La scorsa settimana, gli Stati Uniti hanno pubblicato un avviso contenente informazioni sulle attività del gruppo di hacker e sulle loro tattiche, tecniche e procedure (TTP), nonché dettagli su alcuni dei malware da esso utilizzati.
In un rapporto appena pubblicato, il team Nocturnus di Cybereason fornisce dettagli su due nuove famiglie di malware associate a Kimsuky, vale a dire uno spyware modulare precedentemente non documentato chiamato KGH_SPY, e un nuovo downloader di malware chiamato CSPY Downloader.
Il nuovo malware, hanno detto i ricercatori di Nocturnus, sembra avere solo pochi mesi, ma le prove suggeriscono che potrebbe essere già stato utilizzato in attacchi contro alcune agenzie governative e attivisti per i diritti umani. Tuttavia, non è chiaro in quali paesi si trovano queste entità.
KGH_SPY, afferma Nocturnus, è una suite modulare di strumenti che consente operazioni di cyber-spionaggio, tra cui riconoscimento, registrazione dei tasti premuti, furto di informazioni e accesso backdoor a sistemi compromessi.
CSPY Downloader, d’altra parte, è stato progettato per l’evasione e racchiude funzionalità anti-analisi avanzate. Il malware aiuta gli aggressori a determinare se il sistema di destinazione è “libero” per ulteriori violazioni e consente loro di distribuire payload aggiuntivi.
I nuovi strumenti mostrano somiglianze di codice con il noto malware Kimsuky e l’infrastruttura del server che l’hacker ha impiegato nei recenti attacchi si sovrappone all’infrastruttura precedentemente associata al gruppo, affermano i ricercatori.
Fornito tramite documenti preconfezionati che eseguono un’estesa impronta digitale del sistema di destinazione, lo spyware può raggiungere la persistenza, eseguire keylogging, scaricare payload aggiuntivi ed eseguire codice arbitrario, oltre a rubare informazioni da applicazioni come Chrome, Edge, Firefox, Opera, Thunderbird, e Winscp.
Il CSPY Downloader, dicono i ricercatori, non recupera un payload secondario fino a quando non esegue una serie di controlli per determinare se è in esecuzione in un ambiente virtuale o se è presente un debugger. Prima di ciò, il documento che rilascia il downloader esegue controlli simili.
L’indagine sul nuovo malware ha rivelato che gli aggressori hanno modificato i timestamp di creazione / compilazione dei loro nuovi strumenti, per sembrare che siano stati creati nel 2016. I domini codificati nei campioni, ad esempio, sono stati registrati tra gennaio 2019 e agosto 2020, anni dopo la data di creazione apparente dei campioni.
“Gli hacker hanno investito sforzi per rimanere sotto il radar, impiegando varie tecniche anti-forensi e anti-analisi che includevano il retrodatare il timestamp di creazione / compilazione dei campioni di malware al 2016, offuscamento del codice, tecniche anti-VM e anti-debugging. Al momento della stesura di questo rapporto, alcuni dei campioni menzionati nel rapporto non sono ancora stati rilevati da alcun fornitore di AV”, conclude il team di Nocturnus.