In un recente attacco informatico, un gruppo di hacker legato alla Corea del Nord ha preso di mira settori strategici della Corea del Sud, tra cui aziende, enti governativi e il settore delle criptovalute. Questo attacco, denominato "DEEP#DRIVE" da Securonix, è stato attribuito al gruppo di hacker noto come Kimsuky, identificato anche con diversi altri nomi come APT43 e Black Banshee. La campagna ha utilizzato tecniche sofisticate, tra cui l'uso di PowerShell e Dropbox per eseguire attacchi multi-stadio.
Gli hacker hanno sfruttato esche di phishing mirate, scritte in coreano e camuffate da documenti legittimi, per penetrare nei sistemi delle vittime. Questi documenti ingannevoli, inviati come file .HWP, .XLSX e .PPTX tramite email di phishing, erano mascherati da registri di lavoro, documenti assicurativi e file relativi alle criptovalute per ingannare i destinatari e indurli ad aprirli, avviando così il processo di infezione.
La catena di attacco si distingue per il forte utilizzo di script PowerShell in diverse fasi, inclusa la distribuzione del payload, la ricognizione e l'esecuzione. Inoltre, è stato utilizzato Dropbox per la distribuzione del payload e l'esfiltrazione dei dati. Tutto inizia con un archivio ZIP contenente un singolo file di collegamento Windows (.LNK) che si presenta come un documento legittimo. Una volta estratto e lanciato, questo file attiva l'esecuzione di codice PowerShell per recuperare e visualizzare un documento esca ospitato su Dropbox, mentre stabilisce furtivamente la persistenza sul sistema Windows tramite un'attività pianificata denominata "ChromeUpdateTaskMachine".
Uno dei documenti esca, scritto in coreano, riguarda un piano di sicurezza per le operazioni con carrelli elevatori in una struttura logistica, approfondendo la gestione sicura di carichi pesanti e delineando modi per garantire la conformità con gli standard di sicurezza sul lavoro. Lo script PowerShell è progettato anche per contattare la stessa posizione Dropbox per recuperare un altro script PowerShell responsabile della raccolta e dell'esfiltrazione delle informazioni di sistema. Inoltre, deposita un terzo script PowerShell che è infine responsabile dell'esecuzione di un assembly .NET sconosciuto.
L'infrastruttura basata su cloud utilizzata dimostra un metodo efficace e furtivo per ospitare e recuperare i payload, bypassando le blocklist IP o di dominio tradizionali. La struttura appariva dinamica e di breve durata, come dimostrato dalla rapida rimozione dei collegamenti chiave dopo le fasi iniziali dell'attacco, una tattica che non solo complica l'analisi, ma suggerisce anche che gli attaccanti monitorano attivamente le loro campagne per la sicurezza operativa.
Securonix è riuscita a sfruttare i token OAuth per ottenere ulteriori informazioni sull'infrastruttura degli attaccanti, trovando prove che la campagna potrebbe essere in corso da settembre dell'anno scorso. Nonostante la fase finale mancante, l'analisi evidenzia le tecniche sofisticate impiegate, tra cui l'offuscamento, l'esecuzione furtiva e l'elaborazione dinamica dei file, che dimostrano l'intento degli attaccanti di eludere il rilevamento e complicare la risposta agli incidenti.
