Threats
O Centro de Coordenação da Equipa de Resposta a Incidentes Informáticos do Japão alerta que as organizações japonesas estão a ser alvo de ataques de cibercriminosos norte-coreanos “Kimsuky”
14/07/2024
As organizações japonesas estão a ser alvo de ataques dos cibercriminosos norte-coreanos “Kimsuky”, segundo alerta do Centro de Coordenação da Equipa de Resposta a Incidentes Informáticos do Japão (JPCERT/CC na sigla em inglês). O grupo de ciberespionagem da Coreia do Norte, considerado uma ameaça persistente avançada (APT) pelos Estados Unidos, realiza ataques contra alvos em todo o mundo para reunir informações sobre tópicos de interesse do governo norte-americano. Utiliza engenharia social e phishing para aceder às redes e implementam malware personalizado para roubar dados e manter a sua presença constante nas redes. Os ataques que, segundo o JPCERT/CC, foram detetados desde o início deste ano, começam com o envio de emails de phishing que se fazem passar por organizações de segurança e diplomáticas. Estes emails contêm um software malicioso, projetado para comprometer o sistema da organização que abre o anexo. O grupo Kimsuky utiliza arquivos VBS e scripts PowerShell para reunir as informações detalhadas dos sistemas comprometidos, determinar se estão num ambiente de análise e, em seguida, as mesmas são enviadas aos invasores através da mesma URL controlada pelo cibergrupo. Algumas informações podem incluir credenciais que permitem que os cibercriminosos se espalhem ainda mais nos sistemas e aplicações da organização. Os últimos ataques do Kimsuky foram marcados por uma descoberta, em maio de 2024, pela ASEC que detetou atividades de distribuição de uma nova variante de malware CHM na Coreia. O malware foi disseminado através de diversos tipos de arquivos, incluindo atalhos LNK, documentos DOC e OneNote. Ao ser executado, o arquivo CHM exibia um ecrã de ajuda falsa, enquanto ativava um script malicioso de forma silenciosa. Esse script cria arquivos no perfil do utilizador e conectava-se com URL controladas pelos atacantes para descarregar e executar scripts adicionais. Este incidente mostra a sofisticação das técnicas de engenharia social e distribuição de malware do grupo Kimsuky. Considerando a atividade identificada do grupo Kimsuky no Japão, o CERT nacional realça a importância de as organizações manterem vigilância contra arquivos CHM, suscetíveis a conter scripts executáveis projetados para disseminar malware. |