Grup peretasan Kimsuky Korea Utara telah diamati menggunakan versi baru dari malware pengintaiannya, yang sekarang disebut ‘ReconShark,’ dalam kampanye spionase dunia maya dengan jangkauan global.
Sentinel Labs melaporkan bahwa aktor ancaman telah memperluas cakupan penargetannya, sekarang menargetkan organisasi pemerintah, pusat penelitian, universitas, dan wadah pemikir di Amerika Serikat, Eropa, dan Asia.
Pada Maret 2023, otoritas Korea Selatan dan Jerman diperingatkan bahwa Kimsuky, juga dikenal sebagai Thallium dan Velvet Chollima, mulai menyebarkan ekstensi Chrome berbahaya yang menargetkan akun Gmail dan spyware Android yang berfungsi sebagai trojan akses jarak jauh.
Sebelumnya, pada Agustus 2022, Kaspersky mengungkap kampanye Kimsuky lainnya yang menargetkan politisi, diplomat, profesor universitas, dan jurnalis di Korea Selatan menggunakan multi-tahap skema validasi target yang memastikan hanya target yang valid yang akan terinfeksi dengan muatan berbahaya.
Serangan phising
Setelah Microsoft menonaktifkan makro secara default pada dokumen Office yang diunduh, sebagian besar pelaku ancaman beralih ke jenis file baru dalam serangan phishing, seperti file ISO dan, baru-baru ini, dokumen OneNote.
“Para penyerang cenderung mencari kemenangan mudah melawan versi lama Office atau hanya pengguna yang mengaktifkan makro,” kata Tom Hegel, Sr. Threat Researcher di SentinelLabs, kepada BleepingComputer.
“Kimsuky tidak terlalu inovatif di sini — terutama karena mereka masih mengembangkan keluarga malware BabyShark.”
Setelah Microsoft menonaktifkan makro secara default pada dokumen Office yang diunduh, sebagian besar pelaku ancaman beralih ke jenis file baru untuk serangan phishing, seperti file ISOdan baru-baru ini, dokumen OneNote.
“Para penyerang cenderung mencari kemenangan mudah melawan versi lama Office atau hanya pengguna yang mengaktifkan makro,” kata Tom Hegel, Sr. Threat Researcher di SentinelLabs, kepada BleepingComputer.
“Kimsuky tidak terlalu inovatif di sini — terutama karena mereka masih mengembangkan keluarga malware BabyShark.”
ReconShark
ReconShark dianggap oleh analis Sentinel Labs sebagai evolusi dari malware ‘BabyShark’ Kimsuky, yang sebelumnya juga terlihat digunakan oleh APT43kelompok spionase siber Korea Utara yang tumpang tindih menargetkan organisasi AS.
ReconShark menyalahgunakan WMI untuk mengumpulkan informasi tentang sistem yang terinfeksi, seperti proses yang sedang berjalan, data baterai, dll.
Itu juga memeriksa apakah perangkat lunak keamanan berjalan pada mesin, dengan Sentinel Labs menyebutkan pemeriksaan khusus untuk produk Kaspersky, Malwarebytes, Trend Micro, dan Norton Security.
Eksfiltrasi data pengintaian bersifat langsung, dengan malware mengirimkan semuanya ke server C2 melalui permintaan HTTP POST tanpa menyimpan apa pun secara lokal.
“Kemampuan ReconShark untuk mengekstraksi informasi berharga, seperti mekanisme deteksi yang diterapkan dan informasi perangkat keras, menunjukkan bahwa ReconShark adalah bagian dari operasi pengintaian yang diatur oleh Kimsuky yang memungkinkan serangan presisi berikutnya, kemungkinan melibatkan malware yang dirancang khusus untuk menghindari pertahanan dan mengeksploitasi kelemahan platform, ” peringatan SentinelOne.
Kemampuan lain dari ReconShark adalah mengambil muatan tambahan dari C2, yang dapat memberi Kimsuky pijakan yang lebih baik pada sistem yang terinfeksi.
“Selain mengekstraksi informasi, ReconShark menyebarkan muatan lebih lanjut dengan cara multi-tahap yang diimplementasikan sebagai skrip (VBS, HTA, dan Windows Batch), templat Microsoft Office yang diaktifkan makro, atau file Windows DLL,” membaca Laporan Lab Sentinel.
“ReconShark memutuskan payload apa yang akan digunakan tergantung pada proses mekanisme deteksi apa yang dijalankan pada mesin yang terinfeksi.”
Tahap penerapan payload melibatkan pengeditan file pintasan Windows (LNK) yang terkait dengan aplikasi populer seperti Chrome, Outlook, Firefox, atau Edge untuk mengeksekusi malware saat pengguna meluncurkan salah satu aplikasi tersebut.
Metode alternatif adalah mengganti template Microsoft Office default, Normal.dotm, dengan versi berbahaya yang dihosting di server C2 untuk memuat kode berbahaya setiap kali pengguna meluncurkan Microsoft Word.
Kedua teknik menawarkan cara diam-diam untuk menyusup lebih dalam ke sistem yang ditargetkan, mempertahankan kegigihan, dan mengeksekusi muatan atau perintah tambahan sebagai bagian dari serangan multi-tahap pelaku ancaman.
Tingkat kecanggihan Kimsuky dan taktik mengubah bentuk membutuhkan kewaspadaan yang tinggi dan mengaburkan garis yang memisahkan operasinya dari kelompok Korea Utara lainnya yang melakukan kampanye yang lebih luas.
