Aktor ancaman negara-bangsa yang memiliki ikatan dengan Korea Utara telah dikaitkan dengan kampanye berkelanjutan yang menargetkan bisnis, pemerintah, dan sektor cryptocurrency Korea Selatan.
Kampanye Serangan, Dijuluki Drive#yang dalam Oleh Securonix, telah dikaitkan dengan kelompok peretasan yang dikenal sebagai Kimsuky, yang juga dilacak dengan nama APT43, Black Banshee, Emerald Sleet, Pisces Sparkling, Springtail, TA427, dan Velvet Chollima.
“Memanfaatkan umpan phishing yang disesuaikan yang ditulis dalam bahasa Korea dan menyamar sebagai dokumen yang sah, para penyerang berhasil menyusup ke lingkungan yang ditargetkan,” kata peneliti keamanan Den Iuzvyk dan Tim Peck dalam sebuah laporan yang dibagikan dengan berita peretas, menggambarkan kegiatan tersebut sebagai “canggih dan multi-stage operasi.”
Dokumen umpan, yang dikirim melalui email phishing sebagai file .hwp, .xlsx, dan .pptx, disamarkan sebagai log kerja, dokumen asuransi dan file terkait kripto untuk menipu penerima agar membukanya, sehingga memicu proses infeksi.
Rantai serangan terkenal karena ketergantungannya yang berat pada skrip PowerShell pada berbagai tahap, termasuk pengiriman muatan, pengintaian, dan eksekusi. Ini juga ditandai dengan penggunaan dropbox untuk distribusi payload dan exfiltration data.
Semuanya dimulai dengan arsip zip yang berisi file pintasan windows (.lnk) tunggal yang menyamar sebagai dokumen yang sah, yang, ketika diekstraksi dan diluncurkan, memicu eksekusi kode PowerShell untuk mengambil dan menampilkan dokumen lure yang dihosting di Dropbox, sementara dengan diam -diam. Membangun kegigihan pada host Windows melalui tugas yang dijadwalkan bernama “ChromeupDateTaskMachine.”
Salah satu dokumen iming -iming tersebut, yang ditulis dalam bahasa Korea, berkaitan dengan rencana kerja keselamatan untuk operasi forklift di fasilitas logistik, mempelajari penanganan kargo berat yang aman dan menguraikan cara -cara untuk memastikan kepatuhan dengan standar keselamatan di tempat kerja.
Skrip PowerShell juga dirancang untuk menghubungi lokasi Dropbox yang sama untuk mengambil skrip PowerShell lain yang bertanggung jawab untuk mengumpulkan dan mengekspiltrasi informasi sistem. Selain itu, ini menjatuhkan skrip PowerShell ketiga yang pada akhirnya bertanggung jawab untuk melaksanakan Majelis .NET yang tidak diketahui.
“Penggunaan otentikasi berbasis token OAuth untuk interaksi API Dropbox memungkinkan eksfiltrasi yang mulus dari data pengintaian, seperti informasi sistem dan proses aktif, untuk folder yang telah ditentukan,” kata para peneliti.
“Infrastruktur berbasis cloud ini menunjukkan metode hosting dan pengambilan muatan yang efektif namun tersembunyi, memintas IP tradisional atau daftar blocklist domain. Selain itu, infrastruktur tampak dinamis dan berumur pendek, sebagaimana dibuktikan dengan penghapusan cepat dari tautan kunci setelah tahap awal dari tersebut Serangan, taktik yang tidak hanya memperumit analisis tetapi juga menyarankan penyerang secara aktif memantau kampanye mereka untuk keamanan operasional. “
Securonix mengatakan mereka dapat memanfaatkan token OAuth untuk mendapatkan wawasan tambahan tentang infrastruktur aktor ancaman, menemukan bukti bahwa kampanye mungkin telah berlangsung sejak September tahun lalu.
“Terlepas dari tahap akhir yang hilang, analisis ini menyoroti teknik canggih yang digunakan, termasuk kebingungan, eksekusi siluman, dan pemrosesan file dinamis, yang menunjukkan niat penyerang untuk menghindari deteksi dan memperumit respons insiden,” kata para peneliti.
