Cybereason gilt als einer der führende Anbieter für zukunftsorientiertem Schutz vor Cyber-Angriffen. Das Unternehmen gab der Tage bekannt, dass ihr Cybereason Nocturnus Team eine neu entdeckte modulare Spyware-Suite namens KGH_SPY und einen neuen Malware-Stamm namens CSPY Downloader identifiziert hat, die bei Angriffen der nordkoreanischen Cyber-Spionagegruppe Kimsuky eingesetzt werden, von der angenommen wird, dass sie im Auftrag des nordkoreanischen Regimes operiert.
Diese APT-Gruppe wurde beobachtet, wie sie ein breites Spektrum von Opfern ins Visier nahm, darunter Unternehmen des öffentlichen und privaten Sektors in den USA, Europa, Japan, Südkorea und Russland. Zu den Zielorganisationen gehören Pharma- und Forschungsunternehmen, die an COVID-19-Therapien arbeiten, Regierungs- und Verteidigungsorganisationen, Journalisten und verschiedene Menschenrechtsgruppen.
Kimsuky
Kimsuky (alias Velvet Chollima, Black Banshee und Thallium) ist seit 2012 aktiv und bekannt für ihre komplexe Infrastruktur, die frei registrierte Domains, kompromittierte Domains und von der Gruppe registrierte private Domains verwendet. Das Cybereason Nocturnus Team beobachtete auch Überschneidungen in der operativen Infrastruktur mit BabyShark-Malware und Verbindungen zu Malware wie der Hintertür von AppleSeed.
Der Infektionsvektor der KGH_SPY-Suite scheint über Word-Dokumente zu erfolgen, die bösartige Makros enthalten, und die Malware umfasst mehrere Komponenten, die zum Sammeln von Informationen, Ausführen beliebiger Befehle und Ausspionieren der Benutzeraktivitäten über einen Keylogger und eine Backdoor-Komponente verwendet werden. Einige der Komponenten der KGH Spyware-Suite bleiben von den Antiviren-Herstellern unentdeckt.
CSPY Downloader ist ein hochentwickeltes Tool mit umfangreichen Anti-Analyse- und Ausweichfunktionen, die es den Angreifern ermöglichen, festzustellen, ob “die Luft rein ist”, bevor sie zusätzliche Nutzlasten herunterladen.
Zusätzlich zu den Phishing-Dokumenten, die sich auf koreanischbezogene Themen konzentrieren, enthalten andere forensische Beweise, die in der Malware selbst eingebettet sind, koreanische Sprachschnipsel aus der Zeit der Erstellung der Malware.
“Kimsuky hat eine reiche und berühmt-berüchtigte Geschichte, die bis ins Jahr 2012 zurückreicht und auf Südkorea abzielt, aber in den letzten Jahren haben sie ihre globale Reichweite erweitert. Unsere neueste Entdeckung zeigt, dass Kimsuky gezielte Cyber-Spionagekampagnen gegen eine Reihe von Opfern, darunter Regierungen, Forschungsinstitute und Menschenrechtsgruppen, durchführt. Da die neue Malware recht neu ist, ist das wahre Ausmaß der von ihr ausgehenden Bedrohung unbekannt, aber angesichts von Kimsukys Erfolgsbilanz ist diese Spyware wahrscheinlich sowohl für Organisationen des öffentlichen als auch des privaten Sektors von großer Bedeutung”, sagte Assaf Dahan, Senior Director, Head of Threat Research, Cybereason.
Quelle/Sender (gekürzt): Cybereason