Threats
O Centro de Coordenação da Equipa de Resposta a Incidentes Informáticos do Japão alerta que as organizações japonesas estão a ser alvo de ataques de cibercriminosos norte-coreanos “Kimsuky”
14/07/2024
|
As organizações japonesas estão a ser alvo de ataques dos cibercriminosos norte-coreanos “Kimsuky”, segundo alerta do Centro de Coordenação da Equipa de Resposta a Incidentes Informáticos do Japão (JPCERT/CC na sigla em inglês). O grupo de ciberespionagem da Coreia do Norte, considerado uma ameaça persistente avançada (APT) pelos Estados Unidos, realiza ataques contra alvos em todo o mundo para reunir informações sobre tópicos de interesse do governo norte-americano. Utiliza engenharia social e phishing para aceder às redes e implementam malware personalizado para roubar dados e manter a sua presença constante nas redes. Os ataques que, segundo o JPCERT/CC, foram detetados desde o início deste ano, começam com o envio de emails de phishing que se fazem passar por organizações de segurança e diplomáticas. Estes emails contêm um software malicioso, projetado para comprometer o sistema da organização que abre o anexo. O grupo Kimsuky utiliza arquivos VBS e scripts PowerShell para reunir as informações detalhadas dos sistemas comprometidos, determinar se estão num ambiente de análise e, em seguida, as mesmas são enviadas aos invasores através da mesma URL controlada pelo cibergrupo. Algumas informações podem incluir credenciais que permitem que os cibercriminosos se espalhem ainda mais nos sistemas e aplicações da organização. Os últimos ataques do Kimsuky foram marcados por uma descoberta, em maio de 2024, pela ASEC que detetou atividades de distribuição de uma nova variante de malware CHM na Coreia. O malware foi disseminado através de diversos tipos de arquivos, incluindo atalhos LNK, documentos DOC e OneNote. Ao ser executado, o arquivo CHM exibia um ecrã de ajuda falsa, enquanto ativava um script malicioso de forma silenciosa. Esse script cria arquivos no perfil do utilizador e conectava-se com URL controladas pelos atacantes para descarregar e executar scripts adicionais. Este incidente mostra a sofisticação das técnicas de engenharia social e distribuição de malware do grupo Kimsuky. Considerando a atividade identificada do grupo Kimsuky no Japão, o CERT nacional realça a importância de as organizações manterem vigilância contra arquivos CHM, suscetíveis a conter scripts executáveis projetados para disseminar malware. |
Receba todas as novidades na sua caixa de correio!
NEWS
CNCS confirma “incidente de ransomware” nas infraestruturas da AMA
THREATS
Vulnerabilidade em produto Veeam explorada em ataques de ransomware
ITS CONF
IT Security Conference 2024: “NIS2 vai ser muito importante para a cibersegurança nacional”
ANALYSIS
“É preciso garantir que há um acompanhamento por parte da cibersegurança dos processos de inovação desde o seu ciclo inicial”
ITS CONF
Centro Nacional de Cibersegurança: “A NIS2 traz mais transparência e clareza” (com vídeo)
THREATS
Juniper Networks lança correções para o Junos OS e Junos OS Evolved
THREATS
Grupo iraniano explora falha no Windows para elevar privilégios
THREATS
Vulnerabilidade em produto Veeam explorada em ataques de ransomware
THREATS
Mozilla corrige vulnerabilidade zero-day que está a ser explorada no Firefox
THREATS
Google corrige mais 26 vulnerabilidades no Android
