O grupo de ameaças norte-coreano Kimsuky foi identificado executando uma campanha de ciberataque sofisticada que utiliza arquivos de atalho do Windows (LNK) maliciosos para instalar silenciosamente um backdoor baseado em Python em sistemas de vítimas. A campanha se destaca pela complexidade de sua cadeia de infecção, que adiciona múltiplas camadas intermediárias para dificultar a detecção por ferramentas de segurança tradicionais antes que a carga útil final atinja o alvo.
Descoberta e escopo da campanha
Investigadores da ASEC (AhnLab Security Emergency Response Center) identificaram a mudança estrutural na execução dos arquivos LNK maliciosos. Diferentemente de ataques anteriores, onde o fluxo ia diretamente do LNK para PowerShell e depois para um arquivo BAT, a versão recente introduziu uma etapa intermediária mais complexa. Agora, a execução passa por um arquivo XML, um arquivo VBS, um arquivo PS1 e, finalmente, um arquivo BAT antes de alcançar a carga útil final. Essa expansão da cadeia de comando adiciona camadas de ofuscação e controle, permitindo que os atacantes evitem detecções baseadas em assinaturas simples.
Vetor de ataque e engenharia social
Os arquivos LNK nesta campanha foram disfarçados como documentos cotidianos, com nomes como "Resume (Sungmin Park).hwp.lnk" e "Guide to Establishing Data Backup and Recovery Procedures (Reference).lnk". Esses nomes são cuidadosamente elaborados para parecerem convincentes e evitar suspeitas do usuário. Ao serem abertos, os arquivos LNK acionam um script PowerShell oculto que cria uma pasta oculta no sistema, localizada em C:\windirr, com atributos de sistema e ocultos para permanecer invisível na navegação de arquivos padrão.
Mecanismo de infecção multiestágio
O processo de infecção é construído em várias etapas conectadas, cada uma projetada para avançar silenciosamente sem levantar alarmes de segurança. Após a abertura do arquivo LNK, o script PowerShell cria a pasta oculta e deposita três arquivos: um arquivo XML de agendador de tarefas (sch_ha.db), um script VBS (11.vbs) e um script PowerShell (pp.ps1). O arquivo XML registra uma tarefa de agendador chamada GoogleUpdateTaskMachineCGI, configurada para executar a cada 17 minutos, garantindo persistência mesmo após reinicializações do sistema.
Coleta de dados e exfiltração
Quando o arquivo VBS é executado, ele inicia o pp.ps1, que coleta detalhes do sistema da vítima, incluindo nome de usuário, processos em execução, versão do sistema operacional, endereço IP público e informações sobre antivírus. Os dados roubados são enviados ao atacante através do Dropbox, um serviço de nuvem legítimo utilizado aqui para se misturar ao tráfego de rede normal e evitar detecção. O script pp.ps1 também baixa um arquivo BAT (hh.bat) da conta Dropbox do atacante e o executa.
Implantação do backdoor Python
O arquivo BAT baixa dois fragmentos ZIP de servidores remotos, os mescla e extrai a carga útil final para C:\winii. O arquivo contém um backdoor Python chamado beauty.py, registrado como uma tarefa chamada GoogleExtension e lançado via agendador XML. O backdoor se conecta ao servidor C2 45.95.186[.]232 na porta 8080, envia um pacote "HAPPY" para confirmar a infecção e aguarda comandos. Uma vez instalado, o atacante ganha acesso remoto ao comando sobre a máquina infectada, podendo executar comandos de shell, navegar em diretórios, fazer upload e download de arquivos, excluir arquivos e executar outros programas.
Medidas de mitigação recomendadas
Os usuários devem evitar abrir arquivos LNK recebidos por e-mail ou aplicativos de mensagens, especialmente arquivos disfarçados como documentos. As organizações devem monitorar o Agendador de Tarefas do Windows para entradas suspeitas com nomes relacionados ao Google. Manter as ferramentas de segurança de endpoint atualizadas e bloquear conexões de saída não autorizadas para serviços desconhecidos pode reduzir o risco de uma intrusão bem-sucedida. A análise de tráfego de rede para detectar conexões incomuns ao Dropbox ou a IPs de C2 conhecidos é essencial para a detecção precoce.
O que os CISOs devem fazer imediatamente
1. Auditar logs de execução de PowerShell e scripts VBS em busca de padrões de criação de pastas ocultas.
2. Revisar tarefas agendadas no Windows em busca de nomes suspeitos como GoogleUpdateTaskMachineCGI.
3. Implementar restrições de saída de rede para bloquear conexões não autorizadas a serviços de nuvem pública.
4. Atualizar políticas de segurança para proibir a execução de arquivos LNK de fontes não confiáveis.