Kimsuky

OrigemCoreia do Norte

Técnicas (MITRE ATT&CK)130

FonteMITRE ATT&CK

Também conhecido como:Black BansheeVelvet ChollimaEmerald SleetTHALLIUMAPT43TA427SpringtailEarth KumihoPatheticSlug

Análise Vexday

Kimsuky é um grupo de espionagem cibernética originário da Coreia do Norte (DPRK), ativo pelo menos desde 2012 e rastreado pelo MITRE ATT&CK sob o identificador G0094 — também referenciado pelos aliases Black Banshee, Velvet Chollima, Emerald Sleet, THALLIUM, APT43 e TA427. O grupo iniciou suas operações visando agências governamentais sul-coreanas, think tanks e especialistas temáticos, expandindo posteriormente seu escopo para abranger a ONU e organizações nos setores governamental, educacional, de serviços empresariais e manufatureiro nos Estados Unidos, Japão, Rússia e Europa. Suas coletas são focadas em questões de política externa e segurança nacional relacionadas à Península Coreana, política nuclear e sanções internacionais. Ao grupo são atribuídas 3 CVEs conhecidas e 130 técnicas documentadas no framework MITRE ATT&CK.

Técnicas (MITRE ATT&CK) 130

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Email Addresses Employee Names Gather Victim Org Information Social Media Search Engines Search Victim-Owned Websites Search Open Technical Databases Phishing for Information Spearphishing Link Query Public AI Services

Preparação de recursos

Acquire Infrastructure Domains Server Web Services Domains Establish Accounts Social Media Accounts Email Accounts Email Accounts Develop Capabilities Malware Tool Code Signing Certificates Exploits Upload Malware

Acesso inicial

Exploit Public-Facing Application Phishing Spearphishing Attachment Spearphishing Link

Execução

Scheduled Task PowerShell Windows Command Shell Visual Basic Python JavaScript Native API Malicious Link Malicious File Malicious Copy and Paste Component Object Model

Persistência

Additional Local or Domain Groups External Remote Services Local Account Browser Extensions Web Shell Windows Service Registry Run Keys / Startup Folder

Escalada de privilégio

Change Default File Association

Acesso a credenciais

LSASS Memory Network Sniffing Multi-Factor Authentication Interception Steal Web Session Cookie Credentials In Files Private Keys Credentials from Web Browsers Adversary-in-the-Middle

Descoberta

System Service Discovery Query Registry System Network Configuration Discovery System Owner/User Discovery Process Discovery System Information Discovery File and Directory Discovery System Time Discovery Browser Information Discovery Security Software Discovery Local Storage Discovery

Movimento lateral

Remote Desktop Protocol Internal Spearphishing Pass the Hash

Coleta

Data from Local System Keylogging Web Portal Capture Local Data Staging Screen Capture Remote Email Collection Email Forwarding Rule Clipboard Data Browser Session Hijacking Archive via Utility Archive via Custom Method

Comando e controle

Web Protocols File Transfer Protocols Mail Protocols Dead Drop Resolver Bidirectional Communication Ingress Tool Transfer Non-Standard Encoding Remote Desktop Software Dynamic Resolution

Exfiltração

Automated Exfiltration Exfiltration Over C2 Channel Exfiltration to Cloud Storage

Impacto

Service Stop Financial Theft

defense-impairment

Modify Registry Code Signing Disable or Modify Tools Disable or Modify System Firewall

Vulnerabilidades exploradas 3

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2020-0688HIGHEPSS 100%KEV CVE-2014-7169CRITICALEPSS 100%KEV CVE-2016-6662EPSS 68%

O grupo Kimsuky usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →