Kimsuky的APT策略随着Tagert的增加而继续增加,亚太地区的实体必须更加警惕

雅加达—自从卡巴斯基专家揭露了一场专门针对韩国智库的活跃网络间谍活动以来,已经过去了近10年。这个名为“Kimsuky”的组织继续展示针对朝鲜相关实体的工具和策略的富有成效的更新。   

卡巴斯基的高级专家透露了他的更多发现,包括这种高级持续性威胁(APT)威胁行为者利用其丰富的能力扩展其业务的可能性。

卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Seongsu Park发现,这家知名组织不断配置多阶段命令和控制(C2)服务器,其中各种商业托管服务遍布全球。

命令和控制服务器是帮助威胁行为者控制其恶意软件并向其成员发送恶意命令、组织间谍软件、发送有效负载等的服务器。

Park表示,2019年C2服务器不到100台,截至今年7月,Kimsuky已经拥有603个危险的指挥中心,其攻击可能会超出朝鲜半岛。

“它的历史表明,亚太地区的政府机构,外交实体,媒体,甚至加密货币企业都应该警惕这些隐藏的威胁,”Park说。

飙升的C2服务器数量是Kimsuky在亚太地区及其他地区持续运营的一部分。2022年初,卡巴斯基的专家团队观察到另一波针对韩国记者、外交和学术实体的攻击。

该攻击被称为“GoldDragon”集群,这是一种威胁行为者,通过发送包含嵌入式Word宏文档的鱼叉式网络钓鱼电子邮件来启动感染链。 

通过进一步的分析,Park发现了一个与GoldDragon集群相关的服务器端脚本,该脚本允许专家映射该集群的C2操作。

犯罪者向潜在受害者发送鱼叉式网络钓鱼电子邮件,以下载其他文档。如果受害者单击该链接,则将连接到C2服务器的第一阶段,并将电子邮件地址作为参数。第一阶段 C2 服务器验证传入电子邮件地址的参数是否为预期参数,如果它们位于目标列表中,则发送恶意文档。第一阶段脚本还将受害者的 IP 地址传递到下一阶段服务器。打开检索到的文档时,它将连接到第二个 C2 服务器。第二个 C2 服务器上的相应脚本检查从第一阶段服务器转发的 IP 地址,以检查它是否是来自同一受害者的预期请求。使用此 IP 验证方案,参与者验证传入请求是否来自受害者。此外,操作员依靠其他一些进程来仔细传输下一个负载,例如检查操作系统类型和预定义的用户代理字符串。

Kimsuky使用的另一个重要技术是使用客户端验证过程来确认他们想要针对的相关受害者。 

“我们已经看到kimsuky的小组继续开发恶意软件感染计划,并采用新技术来阻碍分析。追踪这一群体的困难在于获得全链感染的困难,“Park补充道。

正如我们从研究中看到的那样,最近,威胁行为者在其命令和控制服务器中采用了受害者验证方法。尽管很难获得服务器端对象,但Park认为,如果他们从受害者的角度分析攻击者的服务器和恶意软件,他可以完全了解威胁行为者如何操作他们的基础设施以及所使用的技术类型。