Laut BleepingComputer wurde die nordkoreanische Kimsuky-Hackergruppe dabei beobachtet, wie sie eine neue Version ihrer Aufklärungs-Malware „ReconShark“ in einer Cyberspionage-Kampagne mit globaler Reichweite einsetzt. Die Kimsuky-Hackergruppe zielt mit ihren böswilligen Aktivitäten auf Regierungsorganisationen, Forschungszentren, Universitäten und Denkfabriken in den Vereinigten Staaten, Europa und Asien ab.
Im März 2023 warnten südkoreanische und deutsche Behörden vor der Hackergruppe, als Kimsuky damit begann, bösartige Chrome-Erweiterungen zu verbreiten, die auf Gmail-Konten abzielten. Zeitgleich wurde von Kimsuky eine Android-Spyware verbreitet, die als Trojaner für den Fernzugriff diente.
Personalisierte Spear-Phishing-Angriffe
Kimsuky nutzt gut gestaltete und personalisierte Spear-Phishing-E-Mails, um Ziele mit der ReconShark-Malware zu infizieren, eine Taktik, die bereits in allen früheren Kampagnen der Bedrohungsgruppe verwendet wurde.
Diese E-Mails enthalten einen Link zu einem böswilligen passwortgeschützten Dokument, das auf Microsoft OneDrive gehostet wird, um die Wahrscheinlichkeit zu minimieren, dass bei E-Mail-Sicherheitstools Alarm ausgelöst wird.
Wenn das Ziel das heruntergeladene Dokument öffnet und Makros wie angewiesen aktiviert, wird die eingebettete ReconShark-Malware aktiviert.
Nachdem Microsoft Makros standardmäßig auf heruntergeladenen Office-Dokumenten deaktiviert hatte, wechselten die meisten Angreifer zu neuen Dateitypen für Phishing-Angriffe, wie z. B. ISO-Dateien und neuerdings OneNote-Dokumente.
ReconShark erkennt und umgeht Sicherheitssoftware
ReconShark missbraucht WMI (Microsoft Windows Management Instrumentation), um Informationen über das infizierte System zu sammeln, wie z. B. laufenden Prozesse, Batteriedaten usw. Es überprüft auch, ob Sicherheitssoftware auf dem Computer ausgeführt wird.
ReconShark filtert wertvolle Informationen, wie beispielsweise eingesetzte Erkennungsmechanismen und Hardwareinformationen heraus. Das legt die Vermutung nahe, dass ReconShark Teil einer von Kimsuky orchestrierten Aufklärungsoperation ist, die nachgelagerte Präzisionsangriffe ermöglichen soll.
Die Payload-Bereitstellungsphase umfasst das Bearbeiten von Windows-Verknüpfungsdateien (LNK), die mit gängigen Anwendungen wie Chrome, Outlook, Firefox oder Edge verknüpft sind, um die Malware auszuführen, wenn der Benutzer eine dieser Apps startet.
Eine alternative Methode besteht darin, die standardmäßige Microsoft Office-Vorlage Normal.dotm durch eine bösartige Version zu ersetzen, die auf dem C2-Server der Hackergruppe gehostet wird, um bösartigen Code zu laden, wenn der Benutzer Microsoft Word startet.
Beide Techniken bieten eine Möglichkeit, unentdeckt und tiefer in das Zielsystem einzudringen, die Persistenz aufrechtzuerhalten und zusätzliche Payloads oder Befehle als Teil des mehrstufigen Angriffs der Bedrohungsakteure auszuführen.
Das Kimsukys-Niveau an Raffinesse und Wandlungstaktiken erfordert erhöhte Wachsamkeit! Ausserdem ist davon auszugehen, dass andere böswillige Hackergruppen diesem Beispiel folgen werden, indem sie diese Taktik kopieren und in ähnlich raffinierter Weise anwenden werden.