Threat Database Malware KGH Malware

KGH Malware

Infosec-Forscher haben eine neue Angriffskampagne entdeckt, die der nordkoreanischen Hacker-Gruppe Kimsuky zugeschrieben wird. Die Kampagne war dank der Verwendung von Domains, die unter derselben IP-Adresse registriert waren, die im Rahmen der Angriffe mit BabyShark- und AppleSeed-Malware aufgezeichnet wurde, mit der Gruppe verbunden. Die Hacker haben ihren Angriff hauptsächlich auf COVID-19-Impfstoffforscher konzentriert, aber es wurden auch andere Ziele entdeckt, wie die südkoreanische Regierung, der UN-Sicherheitsrat, Forschungseinrichtungen und Journalisten.

Obwohl ein Teil der Command-and-Control-Infrastruktur (C2, C & C) möglicherweise wiederverwendet wurde, ist die weitergegebene Malware brandneu. KGH genannt, ist es ein starker Informationssammler, der über Phishing-E-Mails mit vergifteten Word-Dokumenten verbreitet wird. Die mit Malware geschnürten Dokumente sollen so tun, als hätten sie faszinierende Inhalte, wie z. B. ein Interview mit einem nordkoreanischen Überläufer, um die Zielbenutzer zu ermutigen, sich mit ihnen zu beschäftigen. Andere Dokumente enthalten angeblich einen Brief an Shinzo Abe, den ehemaligen japanischen Premierminister.

In der ersten Phase der Angriffskette wird ein von den Forschern von Cybereason als CSPY bezeichneter benutzerdefinierter Loader bereitgestellt. Es hat die Aufgabe, verschiedene Anti-Analyse- und Anti-VM-Maßnahmen durchzuführen, um sicherzustellen, dass die Malware nicht in einer Sandbox-Umgebung ausgeführt wird. Die KGH-Malware manipuliert auch ihre Zeitstempel und die Dateikompilierung, indem sie sie auf 2016 zurückverlegt. Dies ist ein weiterer Versuch gegen eine mögliche Analyse durch Cybersicherheitsspezialisten.

Die KGH selbst besteht aus mehreren Datenerfassungsmodulen. Bevor die Bedrohungsfunktionalität ausgeführt wird, benennt die Malware-Bedrohung ihre Binärdateien um und löscht dann die Originaldateien, wobei die Hauptnutzlast vorgibt, ein legitimer Windows-Dienst zu sein. Um über das gefährdete System erhöhte Berechtigungen zu erhalten, kann KGH über die SilentCleanup-Task eine Bypass-Technik für den Windows-Dienst zur Benutzerkontensteuerung ausführen. Nach der vollständigen Bereitstellung kann die KGH-Malware Daten von Webbrowsern, E-Mail-Clients, WINSCP und Windows Credential Manager abrufen.

Im Trend

Am häufigsten gesehen

Wird geladen...