Er is een nieuwe uitgebreide aanvalscampagne waargenomen waarbij gebruik wordt gemaakt van PowerShell- en VBScript-malware om Windows-systemen te infecteren en gevoelige informatie te verzamelen.
Cybersecuritybedrijf Securonix, dat de campagne DEEP#GOSU noemde, zei dat deze waarschijnlijk geassocieerd is met de door de Noord-Koreaanse staat gesponsorde groep die wordt gevolgd als Kimsuky.
“De malware-payloads die worden gebruikt in de DIEP#GOSU vormen een geavanceerde, uit meerdere fases bestaande dreiging die is ontworpen om heimelijk op Windows-systemen te opereren, vooral vanuit het oogpunt van netwerkmonitoring”, zeggen beveiligingsonderzoekers Den Iuzvyk, Tim Peck en Oleg Kolesnikov in een technische analyse gedeeld met The Hacker News.
“De mogelijkheden omvatten keylogging, klembordmonitoring, dynamische payload-uitvoering en data-exfiltratie, en persistentie met behulp van zowel RAT-software voor volledige externe toegang, geplande taken als zelfuitvoerende PowerShell-scripts met behulp van taken.”
Een opmerkelijk aspect van de infectieprocedure is dat deze gebruikmaakt van legitieme services zoals Dropbox of Google Docs voor command-and-control (C2), waardoor de bedreigingsactoren onopgemerkt kunnen opgaan in het reguliere netwerkverkeer.
Bovendien maakt het gebruik van dergelijke clouddiensten om de payloads te faseren het mogelijk om de functionaliteit van de malware bij te werken of extra modules te leveren.
Het startpunt zou een kwaadaardige e-mailbijlage zijn met daarin een ZIP-archief met een frauduleus snelkoppelingsbestand (.LNK) dat zich voordoet als een PDF-bestand (“IMG_20240214_0001.pdf.lnk”).
Het .LNK-bestand wordt geleverd met een PowerShell-script en een lok-PDF-document, waarbij de eerste ook een door actoren bestuurde Dropbox-infrastructuur gebruikt om een ander PowerShell-script op te halen en uit te voeren (“ps.bin”).
Het PowerShell-script in de tweede fase haalt op zijn beurt een nieuw bestand op van Dropbox (“r_enc.bin”), een .NET-assemblagebestand in binaire vorm dat eigenlijk een open-source trojan voor externe toegang is, bekend als TruRat (ook bekend als TutRat of C# RAT) met mogelijkheden om toetsaanslagen op te nemen, bestanden te beheren en bediening op afstand te vergemakkelijken.
Het is vermeldenswaard dat Kimsuky TruRat heeft ingezet in ten minste twee campagnes die vorig jaar door het AhnLab Security Intelligence Center (ASEC) zijn ontdekt.
Ook opgehaald door het PowerShell-script van Dropbox is een VBScript (“info_sc.txt”), dat op zijn beurt is ontworpen om willekeurige VBScript-code uit te voeren die is opgehaald uit de cloudopslagservice, inclusief een PowerShell-script (“w568232.ps12x”).
Het VBScript is ook ontworpen om Windows Management Instrumentation (WMI) te gebruiken om opdrachten op het systeem uit te voeren en geplande taken op het systeem in te stellen voor persistentie.
Een ander opmerkelijk aspect van het VBScript is het gebruik van Google Docs om op dynamische wijze configuratiegegevens voor de Dropbox-verbinding op te halen, waardoor de bedreigingsacteur de accountinformatie kan wijzigen zonder het script zelf te hoeven wijzigen.
Het PowerShell-script dat als resultaat wordt gedownload, is uitgerust om uitgebreide informatie over het systeem te verzamelen en de details te exfiltreren via een POST-verzoek naar Dropbox.
“Het doel van dit script lijkt te zijn ontworpen om te dienen als hulpmiddel voor periodieke communicatie met een command-and-control (C2) server via Dropbox”, aldus de onderzoekers. “De belangrijkste doeleinden zijn onder meer het versleutelen en exfiltreren of downloaden van gegevens.”
Met andere woorden, het fungeert als een achterdeur om de besmette hosts te controleren en voortdurend een logboek bij te houden van gebruikersactiviteiten, inclusief toetsaanslagen, klembordinhoud en het voorgrondvenster.
De ontwikkeling komt op het moment dat beveiligingsonderzoeker Ovi Liber de aan Noord-Korea gelinkte ScarCruft’s inbedding van kwaadaardige code in de Hangul Word Processor (HWP) heeft beschreven om documenten in phishing-e-mails te lokken om malware zoals RokRAT te verspreiden.
“De e-mail bevat een HWP-document met een ingebed OLE-object in de vorm van een BAT-script”, aldus Liber. “Zodra de gebruiker op het OLE-object klikt, wordt het BAT-script uitgevoerd, wat op zijn beurt een op PowerShell gebaseerde reflecterende DLL-injectieaanval op de machine van het slachtoffer creëert.”
Het volgt ook Andariel’s exploitatie van een legitieme externe desktop-oplossing genaamd MeshAgent om malware zoals AndarLoader en ModeLoader te installeren, een JavaScript-malware bedoeld voor het uitvoeren van opdrachten.
“Dit is het eerste bevestigde gebruik van een MeshAgent door de Andariel-groep”, aldus ASEC. “De Andariel Group heeft voortdurend misbruik gemaakt van de asset management-oplossingen van binnenlandse bedrijven om malware te verspreiden in het proces van zijwaartse beweging, te beginnen met Innorix Agent in het verleden.”
Andariel, ook bekend onder de namen Nicket Hyatt of Silent Chollima, is een subcluster van de beruchte Lazarus Group en orkestreert actief aanvallen voor zowel cyberspionage als financieel gewin.
Sindsdien is waargenomen dat de productieve, door de staat gesponsorde dreigingsacteur een deel van de crypto-activa witwast die zijn gestolen uit de hack van crypto-uitwisseling HTX en de cross-chain bridge (ook bekend als HECO Bridge) via Tornado Cash. De inbreuk leidde tot de diefstal van $112,5 miljoen aan cryptocurrency in november 2023.
“Volgens de gangbare patronen voor het witwassen van cryptovaluta werden de gestolen tokens onmiddellijk ingewisseld voor ETH, met behulp van gedecentraliseerde uitwisselingen”, aldus Elliptic. “Het gestolen geld bleef vervolgens inactief tot 13 maart 2024, toen de gestolen crypto-activa via Tornado Cash werden verzonden.”
Het blockchain-analysebedrijf zei dat de voortzetting van zijn activiteiten door Tornado Cash ondanks sancties het waarschijnlijk een aantrekkelijk voorstel heeft gemaakt voor de Lazarus Group om zijn transactiespoor na de sluiting van Sinbad in november 2023 te verbergen.
“De mixer werkt via slimme contracten die op gedecentraliseerde blockchains draaien, dus hij kan niet op dezelfde manier in beslag worden genomen en uitgeschakeld als gecentraliseerde mixers zoals Sinbad.io”, aldus het rapport.
