KGH Malware

Par GoldSparrow en Malware

Se traduisent par :

Les chercheurs d'Infosec ont détecté une nouvelle campagne d'attaque attribuée au groupe de hackers nord-coréen Kimsuky. La campagne a été liée au groupe grâce à l'utilisation de domaines enregistrés à la même adresse IP qui a été enregistrée dans le cadre des attaques impliquant le malware BabyShark et AppleSeed précédemment. Les pirates ont principalement concentré leur attaque sur les chercheurs sur le vaccin COVID-19, mais d'autres cibles ont également été détectées, telles que le gouvernement sud-coréen, le Conseil de sécurité de l'ONU, des instituts de recherche et des journalistes.

Bien qu'une partie de l'infrastructure de commande et de contrôle (C2, C&C) ait pu être réutilisée, le malware propagé est tout nouveau. Surnommé KGH, c'est un puissant collecteur d'informations qui est distribué via des e-mails de phishing contenant des documents Word empoisonnés. Les documents contenant des logiciels malveillants sont conçus pour prétendre avoir un contenu intrigant, comme une interview avec un transfuge nord-coréen, afin d'encourager les utilisateurs ciblés à s'engager avec eux. D'autres documents contiendraient une lettre adressée à Shinzo Abe, l'ancien Premier ministre du Japon.

Au cours de la première étape de la chaîne d'attaque, un chargeur personnalisé appelé CSPY par les chercheurs de Cybereason est déployé. Il est chargé de mettre en œuvre plusieurs mesures anti-analyse et anti-VM garantissant que le malware n'est pas exécuté dans un environnement sandbox. KGH Malware manipule également ses horodatages et sa compilation de fichiers en les reportant à 2016, un autre effort contre l'analyse potentielle par des spécialistes de la cybersécurité.

Quant à KGH elle-même, elle est composée de plusieurs modules de collecte de données. Avant de commencer à exécuter sa fonctionnalité menaçante, la menace du malware renomme ses binaires, puis supprime les fichiers d'origine avec la charge utile principale prétendant être un service Windows légitime. Pour obtenir des privilèges élevés sur le système compromis, KGH peut exécuter une technique de contournement pour le service de contrôle de compte d'utilisateur de Windows via la tâche SilentCleanup. Une fois pleinement déployé, le logiciel KGH Malware peut obtenir des données à partir des navigateurs Web, des clients de messagerie, de WINSCP et de Windows Credential Manager.

Rechercher

Changer de région

KGH Malware

Soumettre un Commentaire

Tendance

Arnaque par e-mail « YouPorn »

Safe Search Eng

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran