rewrite this content and keep HTML tags
JPCERT/CC ha confirmado actividades de ataque dirigidas a organizaciones japonesas por parte de un grupo de ataque llamado Kimsuky en marzo de 2024. Este artículo presenta los métodos de ataque del grupo confirmados por JPCERT/CC.
Descripción general del ataque
En el ataque que identificamos, el atacante envió un correo electrónico de ataque dirigido haciéndose pasar por una organización diplomática y de seguridad. Se adjuntó al correo electrónico un archivo zip que contiene los siguientes archivos con doble extensión. (Se omiten los nombres de los archivos).
(1) [omitted].docx[a large number of spaces].exe
(2) [omitted].docx[a large number of spaces].docx
(3) [omitted].docx[a large number of spaces].docx
Para ocultar la extensión del archivo, cada nombre de archivo contiene una gran cantidad de espacios. El objetivo ejecuta el archivo EXE en (1) y, finalmente, provoca una infección de malware. La Figura 1 muestra el flujo después de ejecutar el archivo EXE.
Los archivos docx (2) y (3) son documentos señuelo. La siguiente sección explica el flujo de infección después de ejecutar el archivo EXE.
Flujo de infección
Cuando se ejecuta el archivo EXE (1), se descarga un archivo VBS desde una fuente externa y se ejecuta usando wscript.exe. La Figura 2 muestra el archivo VBS descargado.
El archivo VBS descarga PowerShell desde la fuente externa y llama a la función PokDoc con el siguiente parámetro.
PokDoc -Slyer [Destination URL]
Además, utiliza la clave Ejecutar en el registro para configurar el archivo. C:\Usuarios\Público\Imágenes\desktop.ini.bak para que se inicie automáticamente a través de WScript.
Robar información del dispositivo
El PowerShell descargado por el archivo VBS tiene una función para recopilar información del dispositivo. La Figura 3 muestra el PowerShell descargado.
Cuando el archivo VBS ejecuta la función PokDoc, se recopila la siguiente información en el dispositivo y los datos se envían a la URL proporcionada en el parámetro.
- Información del sistema
- Lista de procesos
- Información de red
- Lista de archivos en carpetas de usuario específicas (Descargas, Documentos, Escritorio)
- Información de la cuenta de usuario
Con base en la información anterior, se supone que esto tiene como objetivo verificar si el dispositivo en el que se ejecutó el archivo EXE se encuentra en un entorno de análisis como un sandbox.
Además, después de enviar la información del dispositivo, se genera un archivo VBS con el nombre del archivo. C:\Usuarios\Público\Imágenes\desktop.ini.bak es creado y ejecutado. La Figura 4 muestra el archivo VBS que se creará.
El archivo VBS que se creará es similar al descrito anteriormente. Descarga PowerShell desde la fuente externa y llama a la función InfoKey con el siguiente parámetro.
InfoKey -ur [Destination URL]
registrador de teclas
PowerShell descargado por el archivo VBS funciona como un registrador de teclas. La Figura 5 muestra un ejemplo de PowerShell descargado.
Cuando se llama a la función InfoKey, el archivo C:\Usuarios\Público\Música\desktop.ini.bak Se crea y luego se guardan las pulsaciones de teclas robadas y la información del portapapeles. El contenido del archivo se envía a la URL proporcionada en el parámetro.
Ataques asociados
Se informa que Kimsuky está utilizando VBS y PowerShell presentados en este artículo para apuntar a organizaciones en Corea del Sur. [1]y hay otro informe de un ataque similar basado en TTP [2]. Por lo tanto, consideramos que Kimsuky también está detrás de este caso.
Para terminar
Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky contra organizaciones en Japón, existe la posibilidad de que Japón también esté siendo un objetivo activo. El informe más reciente dice que se utiliza malware en formato CHM para ejecutar el keylogger mencionado en este artículo. [1]y debemos prestar atención a ataques similares en el futuro.
– Ciudad de Cine
(Traducido por Takumi Nakano)
Referencias
[1] AhnLab: Malware CHM que roba información del usuario se distribuye en Corea
https://asec.ahnlab.com/en/65245/
[2] AhnLab: malware disfrazado de archivo de documento HWP (Kimsuky)
https://asec.ahnlab.com/es/54736/