Kelompok-kelompok ancaman terkait Korea Utara semakin menggunakan teknik hidup-off-the-land (LOTL) dan layanan tepercaya untuk menghindari deteksi, dengan kampanye Kimsuky baru-baru ini menunjukkan penggunaan skrip PowerShell dan menyimpan data di folder Dropbox, bersama dengan peningkatan keamanan operasional yang lebih baik dan lebih baik .
Dalam kampanye, dijuluki “Deep#Drive” oleh perusahaan keamanan Securonix, kelompok ancaman menggunakan log kerja palsu, dokumen asuransi, dan file terkait kripto untuk meyakinkan pengguna untuk mengunduh dan menjalankan file pintasan zip yang mengumpulkan informasi konfigurasi sistem dan kemudian dieksekusi Skrip PowerShell dan .net. Alat serangan mengunggah data sistem ke folder dropbox dan kemudian mengunduh perintah dan kemampuan tambahan untuk kompromi lebih lanjut.
Sementara para penyerang menunjukkan minat dalam kemenangan keuangan cepat – seperti menargetkan pengguna cryptocurrency – sebagian besar, kelompok ancaman yang berfokus pada mencuri data sensitif dari lembaga dan bisnis pemerintah Korea Selatan, kata Tim Peck, seorang peneliti ancaman senior di Securonix.
“Kami mengamati bukti spionase dan motivasi keuangan, meskipun lebih condong ke arah spionase,” katanya. “Ini selaras dengan penargetan historis Kimsuky dari lembaga pemerintah Korea Selatan, perusahaan, dan industri strategis.”
Kelompok operasi cyber Korea Utara secara konsisten menargetkan Korea Selatan dan AS, dengan lembaga pemerintah Korea Selatan dan perusahaan di antara target paling populer. Pada bulan September 2024, FBI memperingatkan bahwa kelompok Korea Utara berencana untuk meluncurkan a Lonjakan serangan terhadap organisasi dengan cadangan cryptocurrency yang signifikandan Kimsuky meluncurkan a Serangan multistage serupa terhadap target Korea Selatan tahun lalu.
Kelompok yang produktif
Kimsuky bukan monolitik, tetapi memiliki lima kelompok ancaman yang tumpang tindih dengan apa yang dianggap perusahaan lain sebagai kelompok yang sama, kata ancaman perusahaan intelijen yang mencatat masa depan. Satu kelompok cenderung fokus pada sektor perawatan kesehatan dan perhotelan, misalnya, sementara yang lain berfokus pada pasar cryptocurrency.
Pada pertengahan 2023, Kimsuky menjadi kelompok Korea Utara yang paling produktif. (Data terbaru tidak tersedia.) Sumber: Laporan “Strategi Cyber Korea Utara” yang direkam di masa depan “
Kelompok Kimsuky menyumbang serangan terbanyak yang diidentifikasi sebagai Korea Utara berasal dari tahun 2021 dan 2023, menurut Laporan “Strategi Cyber Korea Utara” yang direkam di masa depan. Pada tahun 2024, kelompok -kelompok itu terus memperhitungkan volume serangan yang tinggi, kata Mitch Haszard, analis intelijen ancaman senior dengan rekaman masa depan.
“Kelompok -kelompok ini melakukan kampanye phishing volume tinggi, terutama menargetkan individu dan organisasi di Korea Selatan, sementara kadang -kadang menargetkan entitas di negara lain,” katanya. “Dalam aktivitas yang kita lihat, kelompok-kelompok ini tampaknya akan berjalan untuk volume, daripada lebih banyak operasi phishing tombak yang memakan waktu.”
Kelompok Korea Utara terkenal lainnya, seperti Lazarus Dan Andarieltidak sekuat aktor ancaman Kimsuky. Sementara beberapa kelompok itu lebih fokus pada pengumpulan informasi yang sensitif, hampir semua juga memiliki motivasi finansial.
Ribuan korban?
Di dalam Kampanye drive#yang dalammengikuti kompromi sistem, skrip serangan grup Kimsuky mengunggah data pada konfigurasi sistem ke salah satu dari beberapa folder Dropbox. Sementara para peneliti Securonix tidak dapat mengumpulkan intelijen dari semua lokasi Dropbox yang dicurigai, mereka menemukan tanda -tanda lebih dari 8.000 file konfigurasi, meskipun beberapa tampaknya duplikat, kata Peck.
Sementara itu berarti mereka kemungkinan berasal dari organisasi korban yang sama, kampanye ini tampaknya cukup berhasil, katanya.
“Ada dua faktor yang berkontribusi pada 'keunikan' file konfigurasi, nama pengguna, dan alamat IP,” kata Peck. “Beberapa nama pengguna dikaitkan dengan lusinan alamat IP serupa, yang dapat menunjukkan gerakan lateral oleh penyerang – [that is]menginfeksi lusinan mesin dari entitas yang sama. “
Data dari sistem yang dikompromikan mencakup alamat IP host, uptime sistem, detail tentang jenis dan versi OS, perangkat lunak keamanan yang diinstal, dan daftar proses berjalan.
Kimsuky meningkatkan OPSEC -nya
Kampanye ini juga menyoroti perbaikan kelompok cyber-operations Korea Utara untuk keamanan operasional. Kelompok ini menggunakan otentikasi berbasis OAuth pada folder Dropbox-nya, mencegah pemblokiran URL tradisional atau pertahanan berbasis jaringan dari mengikuti tautan. Aktor ancaman juga dengan cepat mencatat komponen infrastruktur mereka segera setelah para peneliti Securonix mulai menyelidiki, kata Peck Securonix.
“Tingkat kesadaran operasional ini tidak selalu ada dalam kampanye malware yang digerakkan oleh phishing,” katanya.
Untuk perusahaan, taktik kelompok ancaman menggarisbawahi bahwa ekstensi file tersembunyi harus dinonaktifkan, file pintas harus diblokir dari mengeksekusi di folder pengguna, dan hanya skrip PowerShell yang ditandatangani yang diizinkan untuk dieksekusi. Ketiga penanggulangan itu membuat aktivitas penyerang jauh lebih mudah dideteksi, kata Peck.
Selain itu, perusahaan di industri yang ditargetkan – seperti pertukaran cryptocurrency dan lembaga pemerintah – harus meningkatkan keamanan email mereka dan secara teratur melatih karyawan tentang cara menemukan ancaman phishing, kata Haszard Future yang tercatat.
“Sebagian besar serangan siber Korea Utara masih dimulai dengan rekayasa sosial dan phish,” katanya. “Perusahaan harus memastikan bahwa mereka memiliki solusi keamanan email dan secara teratur melatih karyawan tentang ancaman phishing, serta melakukan tes phishing simulasi.”
