Kimsuky

Peretas Korea Utara menggunakan ekstensi Chrome untuk mencuri email Gmail

March 25, 2023 by Coffee Bean

Technology For Cyber Illegal Hacker Computer

Penasihat keamanan siber bersama dari Kantor Federal Jerman untuk Perlindungan Konstitusi (BfV) dan Badan Intelijen Nasional Republik Korea (NIS) memperingatkan tentang penggunaan ekstensi Chrome oleh Kimsuky untuk mencuri email Gmail target.

Kimsuky (alias Thallium, Velvet Chollima) adalah kelompok ancaman Korea Utara yang menggunakan spear phishing untuk melakukan spionase dunia maya terhadap diplomat, jurnalis, lembaga pemerintah, profesor universitas, dan politisi. Awalnya berfokus pada target di Korea Selatan, pelaku ancaman memperluas operasi dari waktu ke waktu untuk menargetkan entitas di AS dan Eropa.

Mencuri email Gmail

Serangan dimulai dengan email spear-phishing yang mendesak korban untuk menginstal ekstensi Chrome berbahaya, yang juga akan diinstal di browser berbasis Chromium, seperti Microsoft Edge atau Brave.

Ekstensi bernama ‘AF’ dan hanya dapat dilihat di daftar ekstensi jika pengguna memasukkan “(chrome|edge| brave)://extensions” di bilah alamat browser.

Setelah korban mengunjungi Gmail melalui browser yang terinfeksi, ekstensi secara otomatis aktif untuk mencegat dan mencuri konten email korban.

Ekstensi tersebut menyalahgunakan Devtools API (developer tools API) di browser untuk mengirim data yang dicuri ke server relai penyerang, secara diam-diam mencuri email mereka tanpa merusak atau melewati perlindungan keamanan akun.

Ini bukan pertama kalinya Kimsuky menggunakan ekstensi Chrome jahat untuk mencuri email dari sistem yang dilanggar.

Pada Juli 2022, Volexity melaporkan tentang kampanye serupa yang menggunakan ekstensi bernama “SHARPEXT”. Pada Desember 2018, Netscout melaporkan bahwa Kimsuky mengikuti taktik yang sama terhadap target akademisi.

Kali ini, hash dari file jahat yang digunakan Kimsuky dalam serangan terbarunya adalah:

012D5FFE697E33D81B9E7447F4AA338B (manifest.json)
582A033DA897C967FAADE386AC30F604 (bg.js)
51527624E7921A8157F820EB0CA78E29 (dev.js)

selengkapnya : bleepingcomputer

Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

August 26, 2022 by Eevee

Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

Target potensial yang diturunkan oleh Kaspersky

Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

Beberapa dokumen dikirim ke target (Kaspersky)

Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

Proses infeksi terbaru Kimsuky (Kaspersky)

Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

Sumber:

SharpTongue Menyebarkan Ekstensi Browser Pencuri Email yang Cerdas “SHARPEXT”

July 31, 2022 by Eevee

Volexity melacak berbagai aktor ancaman untuk memberikan wawasan unik dan informasi yang dapat ditindaklanjuti kepada pelanggan Threat Intelligence-nya. Salah satu yang sering ditemui—yang sering menghasilkan investigasi forensik pada sistem yang disusupi—dilacak oleh Volexity sebagai SharpTongue. Aktor ini diyakini berasal dari Korea Utara dan sering disebut publik dengan nama Kimsuky.Volexity sering mengamati SharpTongue menargetkan dan mengorbankan individu yang bekerja untuk organisasi di Amerika Serikat, Eropa dan Korea Selatan yang bekerja pada topik yang melibatkan Korea Utara, masalah nuklir, sistem senjata, dan hal-hal lain yang menjadi kepentingan strategis Korea Utara.

Pada September 2021, Volexity mulai mengamati keluarga malware yang menarik dan tidak terdokumentasi yang digunakan oleh SharpTongue. Dalam setahun terakhir, Volexity telah menanggapi beberapa insiden yang melibatkan SharpTongue dan, dalam banyak kasus, telah menemukan ekstensi berbahaya Google Chrome atau Microsoft Edge yang disebut Volexity “SHARPEXT”.

SHARPEXT berbeda dari ekstensi yang didokumentasikan sebelumnya yang digunakan oleh aktor “Kimsuky”, karena tidak mencoba mencuri nama pengguna dan kata sandi. Sebaliknya, malware secara langsung memeriksa dan mengekstrak data dari akun email web korban saat mereka menjelajahinya. Sejak penemuannya, ekstensi telah berkembang dan saat ini berada di versi 3.0, berdasarkan sistem versi internal. Ini mendukung tiga browser web dan pencurian email dari Gmail dan webmail AOL.

Penggunaan ekstensi peramban berbahaya oleh aktor ancaman Korea Utara bukanlah hal baru; taktik ini biasanya digunakan untuk menginfeksi pengguna sebagai bagian dari fase pengiriman serangan. Namun, ini adalah pertama kalinya Volexity mengamati ekstensi peramban berbahaya yang digunakan sebagai bagian dari fase kompromi pasca-eksploitasi. Dengan mencuri data email dalam konteks sesi pengguna yang sudah masuk, serangan disembunyikan dari penyedia email, membuat deteksi menjadi sangat menantang. Demikian pula, cara kerja ekstensi berarti aktivitas mencurigakan tidak akan dicatat di halaman status “aktivitas akun” email pengguna, jika mereka meninjaunya.

Penerapan SHARPEXT sangat disesuaikan, karena penyerang harus terlebih dahulu mendapatkan akses ke file Preferensi Keamanan browser asli korban. File ini kemudian dimodifikasi dan digunakan untuk menyebarkan ekstensi berbahaya. Volexity telah mengamati SharpTongue menyebarkan SHARPEXT terhadap target selama lebih dari setahun; dan, dalam setiap kasus, folder khusus untuk pengguna yang terinfeksi dibuat berisi file yang diperlukan untuk ekstensi.

Volexity telah mengikuti evolusi SHARPEXT karena beberapa keterlibatan yang ditangani oleh tim respons insidennya. Ketika Volexity pertama kali menemukan SHARPEXT, tampaknya merupakan alat dalam pengembangan awal yang mengandung banyak bug, indikasi bahwa alat tersebut belum matang. Pembaruan terbaru dan pemeliharaan berkelanjutan menunjukkan penyerang mencapai tujuannya, menemukan nilai dalam terus menyempurnakannya. Visibilitas Volexity sendiri menunjukkan ekstensi telah cukup berhasil, karena log yang diperoleh Volexity menunjukkan penyerang berhasil mencuri ribuan email dari banyak korban melalui penyebaran malware.

Untuk mendeteksi dan menyelidiki serangan seperti ini secara umum, Volexity merekomendasikan hal berikut:

Karena PowerShell memainkan peran kunci dalam penyiapan dan pemasangan malware, mengaktifkan dan menganalisis hasil logging PowerShell ScriptBlock dapat berguna untuk identifikasi dan triase aktivitas berbahaya.
Tim keamanan yang bertanggung jawab untuk membela pengguna yang sangat ditargetkan oleh pelaku ancaman ini dapat mempertimbangkan untuk meninjau ekstensi yang diinstal pada mesin pengguna berisiko tinggi secara berkala untuk mengidentifikasi ekstensi yang tidak tersedia di Toko Web Chrome atau dimuat dari jalur yang tidak biasa.

Untuk mencegah serangan spesifik ini, Volexity merekomendasikan hal berikut:

Gunakan aturan YARA di sini untuk mendeteksi aktivitas terkait.
Blokir IOC yang terdaftar di sini.

Sumber: Volexity

Peretas Kimsuki menggunakan RAT komoditas dengan malware Gold Dragon khusus

February 9, 2022 by Eevee

Peneliti Korea Selatan melihat aktivitas baru dari kelompok peretasan Kimsuky, yang melibatkan alat akses jarak jauh sumber terbuka komoditas yang dijatuhkan dengan pintu belakang khusus mereka, Gold dragon.

Grup ini telah menunjukkan keserbagunaan operasional yang mengesankan dan pluralisme aktivitas ancaman, terlibat dalam distribusi malware, phishing, pengumpulan data, dan bahkan pencurian cryptocurrency.

Analis di ASEC (AhnLab), Kimsuky menggunakan xRAT dalam serangan yang ditargetkan terhadap entitas Korea Selatan. Kampanye dimulai pada 24 Januari 2022, dan masih berlangsung.

xRAT adalah akses jarak jauh sumber terbuka dan alat administrasi yang tersedia secara gratis di GitHub. Malware ini menyediakan berbagai fitur seperti keylogging, remote shell, tindakan pengelola file, proxy HTTPS terbalik, komunikasi AES-128, dan rekayasa sosial otomatis.

Pelaku ancaman yang canggih dapat memilih untuk menggunakan RAT komoditas karena, untuk operasi pengintaian dasar, alat ini sangat memadai dan tidak memerlukan banyak konfigurasi.

Hal ini memungkinkan pelaku ancaman untuk memfokuskan sumber daya mereka pada pengembangan malware tahap selanjutnya yang memerlukan fungsionalitas lebih khusus tergantung pada alat/praktik pertahanan yang ada pada target.

Selain itu, RAT komoditas berbaur dengan aktivitas dari spektrum pelaku ancaman yang luas, sehingga mempersulit analis untuk mengaitkan aktivitas jahat dengan kelompok tertentu.

Pintu belakang Gold Dragon
Gold Dragon adalah backdoor tahap kedua yang biasanya disebarkan Kimsuky setelah serangan tahap pertama berbasis PowerShell tanpa file yang memanfaatkan steganografi.

Namun, seperti yang dijelaskan ASEC dalam laporannya, varian yang mereka temukan dalam kampanye terbaru ini memiliki fungsi tambahan seperti eksfiltrasi informasi sistem dasar.

Malware tidak lagi menggunakan proses sistem untuk fungsi ini, tetapi menginstal alat xRAT untuk mencuri informasi yang diperlukan secara manual.

RAT berada di bawah penyamaran yang dapat dieksekusi bernama cp1093.exe, yang menyalin proses PowerShell normal (powershell_ise.exe) ke jalur “C:\ProgramData\” dan dijalankan melalui proses lekukan.

Pada aspek operasional Naga Emas, ia terus menggunakan metode pengosongan proses yang sama pada iexplore.exe dan svchost.exe, dan masih mencoba untuk menonaktifkan fitur deteksi waktu nyata di produk AhnLab AV.

Selanjutnya, penginstal menambahkan kunci registri baru untuk membuat persistensi startup untuk muatan malware (glu32.dll).

Entri registri baru untuk muatan utama
Sumber: ASEC

Akhirnya, Kimsuky menjatuhkan uninstaller (UnInstall_kr5829.co.in.exe) yang dapat menghapus jejak kompromi jika dan saat dibutuhkan.

Kimsuky’s infection trace wiper
Source: ASEC

AhnLab menyarankan agar pengguna tidak membuka lampiran pada email dari sumber yang tidak dikenal, karena ini tetap menjadi saluran utama distribusi malware untuk Kimsuky.

Sumber : Bleeping Computer

Bagaimana APT Kimsuky Korea Utara Mengembangkan Taktiknya

May 9, 2021 by Winnie the Pooh

Grup APT Korea Utara Kimsuky mengadopsi taktik, teknik, dan prosedur baru dalam serangan global, lapor peneliti yang temuannya menunjukkan operasi grup memiliki perbedaan yang cukup untuk menjamin pemisahannya menjadi dua subkelompok yang lebih kecil: CloudDragon dan KimDragon.

Kimsuky bukanlah kelompok baru tetapi telah mengadopsi metode baru untuk mendukung misinya dalam mengumpulkan intelijen. Peringatan pemerintah AS yang dikeluarkan pada Oktober 2020 melaporkan bahwa grup tersebut telah beroperasi sejak 2012 dan sering menggunakan rekayasa sosial, spear-phishing, dan serangan lubang air untuk mengumpulkan informasi dari target yang sebagian besar berlokasi di Korea Selatan, Jepang, dan AS.

Sebuah tim peneliti yang mengamati kelompok APT Korea Utara telah mengumpulkan bukti yang menunjukkan ada beberapa perbedaan signifikan dalam cara berbagai aspek Kimsuky beroperasi. Hari ini di acara virtual Black Hat Asia, Jhih-Lin Kuo dan Zin-Cing Lao, keduanya peneliti intelijen ancaman senior di TeamT5, membagi kelompok menjadi dua kelompok kecil berdasarkan target, malware, dan infrastruktur mereka, dan berbagi detail tentang bagaimana operasi kelompok telah berkembang.

Grup Kimsuky yang diungkapkan Kaspersky pada tahun 2013 telah dijuluki KimDragon oleh tim; Kimsuky yang lebih dikenal publik yang terlihat di berita utama dan laporan vendor adalah CloudDragon.

selengkapnya : beta.darkreading.com

Korea Utara telah mencoba meretas 11 pejabat Dewan Keamanan PBB

October 1, 2020 by Winnie the Pooh

Sebuah kelompok peretas yang sebelumnya terkait dengan rezim Korea Utara telah terlihat meluncurkan serangan spear-phishing untuk membahayakan pejabat bagian dari Dewan Keamanan Perserikatan Bangsa-Bangsa.

Serangan tersebut, yang diungkapkan dalam laporan PBB bulan lalu, telah terjadi tahun ini dan menargetkan setidaknya 28 pejabat PBB, termasuk setidaknya 11 individu yang mewakili enam negara Dewan Keamanan PBB.

Serangan tersebut dikaitkan dengan kelompok peretas Korea Utara yang dikenal di komunitas keamanan siber dengan nama sandi Kimsuky.

Operasi Kimsuky berlangsung sepanjang Maret dan April tahun ini dan terdiri dari serangkaian kampanye spear-phishing yang ditujukan ke akun Gmail pejabat PBB.

Email tersebut dirancang agar terlihat seperti peringatan keamanan PBB atau permintaan wawancara dari wartawan, keduanya dirancang untuk meyakinkan pejabat agar mengakses halaman phishing atau menjalankan file malware di sistem mereka.

Namun serangan ini tidak berhenti pada bulan April, seperti yang dinyatakan dalam laporan PBB terbaru tentang Korea Utara, dan kelompok Kimsuky terus menargetkan PBB, sebagai bagian dari upaya yang lebih luas untuk memata-matai pengambilan keputusan PBB sehubungan dengan urusan Korea Utara dan kemungkinan rencana untuk menjatuhkan sanksi baru.

Analis PwC, yang ahli dalam operasi Kimsuky, mengatakan sebagian besar operasi grup adalah serangan spear-phishing yang bertujuan untuk mendapatkan kredensial korban untuk berbagai akun online. Operasi spear-phishing lainnya juga bertujuan agar para korban terinfeksi malware.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Grup APT Kimsuky Korea Utara terus mengancam Korea Selatan dengan mengembangkan TTP-nya

March 5, 2020 by Winnie the Pooh

Tim peneliti keamanan di Cybaze-Yoroi ZLab baru-baru ini menganalisis salah satu grup APT Korea Utara yang dijuluki Kimsuky. Grup APT Kimsuky telah dianalisis oleh beberapa tim keamanan. Grup ini pertama kali ditemukan oleh peneliti Kaspersky pada tahun 2013, baru-baru ini aktivitasnya dirinci oleh ESTsurity.

Tidak seperti kelompok APT lain yang menggunakan rantai infeksi yang panjang dan kompleks, kelompok Kimsuky memanfaatkan rantai serangan yang lebih pendek, dipercaya bahwa cara ini sangat efektif dalam mencapai tingkat deteksi yang rendah.

Infeksi dimulai dengan file executable dengan ekstensi “scr”, ekstensi yang digunakan oleh Windows untuk mengidentifikasi artefak Screensaver. Berakhir dengan, setiap 15 menit malware yang berhasil ditanam menghubungi pusat data C2 (suzuki.].Pe.]Hu) dan mengirimkan kembali informasi tentang mesin yang dikompromikan.

Baca analisis selengkapnya pada tautan di bawah ini;

Source: Yoroi

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Kimsuky

Cookies Settings