Er is waargenomen dat nationale actoren die verbonden zijn met Noord-Korea spear-phishing-aanvallen gebruiken om een assortiment achterdeurtjes en tools zoals AppleSeed, Meterpreter en TinyNuke te leveren om de controle over gecompromitteerde machines over te nemen.
Het in Zuid-Korea gevestigde cyberbeveiligingsbedrijf AhnLab schreef de activiteit toe aan een geavanceerde persistente dreigingsgroep genaamd Kimsuky.
“Een opmerkelijk punt bij aanvallen waarbij AppleSeed wordt gebruikt, is dat er al vele jaren vergelijkbare aanvalsmethoden worden gebruikt zonder noemenswaardige veranderingen in de malware die samen wordt gebruikt”, aldus het AhnLab Security Emergency Response Center (ASEC) in een donderdag gepubliceerde analyse.
Kimsuky, al meer dan tien jaar actief, staat bekend om zijn doelwitten op een breed scala aan entiteiten in Zuid-Korea, voordat hij in 2017 zijn focus uitbreidde naar andere geografische gebieden. Het bedrijf werd eind vorige maand door de Amerikaanse regering gesanctioneerd wegens het vergaren van inlichtingen ter ondersteuning van Noord-Korea. De strategische doelstellingen van Korea.
De spionagecampagnes van de bedreigingsacteur worden gerealiseerd via spearphishing-aanvallen die kwaadaardige lokdocumenten bevatten die, bij het openen, culmineren in de inzet van verschillende malwarefamilies.
Een van de prominente op Windows gebaseerde achterdeurtjes die door Kimsuky wordt gebruikt, is AppleSeed (ook bekend als JamBog), een DLL-malware die al in mei 2019 in gebruik is genomen en is bijgewerkt met een Android-versie en een nieuwe variant geschreven in Golang genaamd AlphaSeed. .
AppleSeed is ontworpen om instructies te ontvangen van een door een actor bestuurde server, extra payloads te droppen en gevoelige gegevens zoals bestanden, toetsaanslagen en schermafbeeldingen te exfiltreren. AlphaSeed bevat, net als AppleSeed, vergelijkbare functies, maar kent ook enkele cruciale verschillen.
“AlphaSeed is ontwikkeld in Golang en gebruikt chromedp voor de communicatie met de [command-and-control] server”, aldus ASEC, in tegenstelling tot AppleSeed, dat afhankelijk is van HTTP- of SMTP-protocollen. Chromedp is een populaire Golang-bibliotheek voor interactie met de Google Chrome-browser in headless-modus via het DevTools Protocol.
Er zijn aanwijzingen dat de Kimsuky AlphaSeed sinds oktober 2022 bij aanvallen heeft gebruikt, waarbij sommige inbraken zowel AppleSeed als AlphaSeed op hetzelfde doelsysteem afleverden door middel van een JavaScript-dropper.
De tegenstander gebruikt ook Meterpreter- en VNC-malware zoals TightVNC en TinyNuke (ook bekend als Nuclear Bot), die kunnen worden gebruikt om de controle over het getroffen systeem over te nemen.
De ontwikkeling komt op het moment dat Nisos zei dat het een aantal online persona’s op LinkedIn en GitHub had ontdekt die waarschijnlijk door Noord-Koreaanse informatietechnologie (IT)-werknemers worden gebruikt om op frauduleuze wijze werk op afstand te verkrijgen van bedrijven in de VS en te fungeren als een inkomstengenererende stroom voor het regime en haar economische en veiligheidsprioriteiten te helpen financieren.
“De persona’s beweerden vaak bedreven te zijn in het ontwikkelen van verschillende soorten applicaties en ervaring te hebben met crypto- en blockchain-transacties”, zei het dreigingsinformatiebureau in een rapport dat eerder deze maand werd uitgebracht.
“Verder zochten alle persona’s alleen op afstand posities in de technologiesector en waren ze vooral gericht op het verkrijgen van nieuwe werkgelegenheid. Veel van de accounts zijn slechts een korte periode actief voordat ze worden uitgeschakeld.”
Noord-Koreaanse actoren hebben de afgelopen jaren een reeks meervoudige aanvallen gelanceerd, waarbij nieuwe tactieken en zwakke punten in de toeleveringsketen worden gecombineerd om zich te richten op blockchain- en cryptocurrency-bedrijven om de diefstal van intellectueel eigendom en virtuele activa te vergemakkelijken.
De productieve en agressieve aard van de aanvallen wijst op de verschillende manieren waarop het land zijn toevlucht heeft genomen om internationale sancties te omzeilen en op illegale wijze van de plannen te profiteren.
“Mensen hebben de neiging om te denken: hoe zou het ‘Hermit Kingdom’ zonder aanhalingstekens een serieuze speler kunnen zijn vanuit een cyberperspectief?”, zei Adam Meyers van CrowdStrike tegen Politico. “Maar de realiteit kan niet verder van de waarheid zijn.”
