Analisi della nuova backdoor AppleSeed del gruppo di cyber spionaggio Kimsuky
Telsy ha analizzato il gruppo di spionaggio informatico noto come Kimsuky in una particolare campagna di spear phishing.
Introduzione
Il team Threat Intelligence di Telsy monitora diversi threat actor, tra cui il gruppo di cyber espionage noto come Kimsuky, (alias: Velvet Chollima, Black Banshee e Thallium), attivo almeno dal 2012 ed il quale si ritiene operi per conto del regime nordcoreano.
Il gruppo ha una ricca e famigerata storia di operazioni informatiche offensive in tutto il mondo, comprese le operazioni contro i think tank sudcoreani, ma negli ultimi anni hanno ampliato il loro targeting a paesi tra cui Stati Uniti, Russia e varie nazioni in Europa.
Kimsuky utilizza vari metodi di spearphishing e ingegneria sociale per ottenere l’accesso iniziale alle reti delle vittime. Lo spear-phishing con un allegato malevolo alla e-mail è la tattica maggiormente utilizzata dal threat actor Kimsuky.
La struttura dell’ultimo file della chain (backdoor AppleSeed) e delle TTP utilizzate in queste recenti attività sono simili a quanto riportato nel report di Malwarebytes ad eccezione del metodo di comunicazione in quanto, in quest’ultimo caso, è stato sfruttato il server di posta elettronica pubblico “daum.net” .
In effetti, questa versione della backdoor AppleSeed presenta diverse somiglianze con quella riportata nel report di Malwarebytes:
– utilizza lo stesso metodo di persistenza, creando la chiave di registro denominata “EstsoftAutoUpdate”;
– l’attivazione dei moduli avviene creando i seguenti file, FolderMonitor, KeyboardMonitor, ScreenMonitor, UsbMonitor, nella directory “C:ProgramDataSoftwareESTsoftCommonflags” con all’interno la stringa “Flag”;
– utilizza RC4 per la cifratura e la decifratura dei dati, la chiave RC4 viene generata come hash MD5 di un buffer di 117 byte generato casualmente. Il buffer di 117 byte creato viene cifrato utilizzando l’algoritmo RSA e viene inviato al server insieme ai dati cifrati precedentemente con la chiave RC4.
L’uso di un server di posta elettronica pubblico, come metodo di comunicazione per il Command & Control, è stato parzialmente descritto in precedenza da Securlist.
In questa versione, analizzata da Telsy, ci sono alcune differenze sia nella modalità di invio e ricezione delle e-mail, in quanto utilizza la libreria ‘Curl’ embedded e non la classica API WinInet, ma soprattutto nelle funzionalità di invio e ricezione dei comandi con il C2.
Leggi il report completo a questo link