Abwehr von APTs: Eine Lerneinheit mit Kimsuky
About Abwehr von APTs: Eine Lerneinheit mit Kimsuky
Die "sich entwickelnde Bedrohungslandschaft" ist ein Begriff, den wir häufig in Webinaren und Präsentationen hören, die in der gesamten Cybersicherheitsbranche stattfinden. Ein solcher Sammelbegriff soll die Vielzahl von Bedrohungsgruppen und deren sich entwickelnde Taktiken erfassen, verfehlt jedoch in vielerlei Hinsicht, das Wachstum ihrer Fähigkeiten wirklich anzuerkennen. Dies gilt insbesondere für APT-Gruppen, die seit Jahren eine bemerkenswerte Steigerung ihrer Fähigkeiten demonstriert haben, unentdeckt zu bleiben und Anweisungen von denjenigen auszuführen, die die breiteren Kampagnen orchestrieren, unter denen sie operieren.
Die neueste Forschungsarbeit von Rapid7 Labs untersucht die Taktiken der nordkoreanischen Bedrohungsgruppe Kimsuky. Es wurde veröffentlicht, um mehr über die sich entwickelnden Fähigkeiten einer äußerst geschickten und fleißigen Bedrohungsgruppe zu lernen und, was noch wichtiger ist, um die notwendigen Erkenntnisse für die Unterstützung von Sicherheitsteams bei der Umsetzung von Abwehrstrategien zu liefern.
In diesem Beitrag werde ich einige der wichtigsten Erkenntnisse aus dieser neuen Studie behandeln.
Targeting-Funktionen
Das Papier beschreibt Kimsukys Übermittlungsmethode, die sich weitgehend auf E-Mails konzentriert. Ein wesentlicher Bestandteil davon ist jedoch, zu bestimmen, wer ins Visier genommen werden soll und was der wahrscheinlich effektivste Köder sein wird. In der Vergangenheit war diese Bedrohungsgruppe bei Letzterem besonders erfolgreich, wobei viel Zeit und Kosten aufgewendet wurden, um "Individuen" zu identifizieren, auf die ihre Aufmerksamkeit gerichtet sein sollte.
Es ist allzu einfach, mit den Schultern zu zucken und darauf hinzuweisen, dass Sicherheitsbewusstsein die Allheilmittel-Kontrolle sei, um all diese Angriffsvektoren zu verhindern. Die Realität ist jedoch, dass wir alle anfällig bleiben, wenn der richtige Köder verwendet wird. Die Fähigkeit dieser Bedrohungsgruppe, weltweit Individuen gezielt anzugreifen und zu kompromittieren, zeigt ein beunruhigendes Maß an Kompetenz, eine Reaktion von den Opfern zu erzwingen.
Entwicklung der technischen Fähigkeiten
Wie bereits zu Beginn des Jahres beschrieben, sehen wir technische Innovationen, die aus der Notwendigkeit resultieren, Sicherheitskontrollen innerhalb der Opferumgebung zu umgehen. In diesem Fall beschreiben wir die Verwendung von . LNK-Datei-Payloads, die von einem LNK Builder-Proof-of-Concept abgeleitet wurden. Dies ist jedoch nur die Spitze des Eisbergs, da viele andere Nutzlasten auf alternative Weise geliefert werden.
Dies zeigt – mit einem sehr hohen Maß an Sicherheit – dass es ein Aspekt für die kontinuierliche Verbesserung der Werkzeuge gibt. Ähnlich wie eine Komponente dieser Gruppe, die sich dem starken OSINT widmet (wie oben), gibt es wahrscheinlich eine Untergruppe, die sich der technischen Innovation widmet, um der Entdeckung zu entgehen.
Dies ermöglicht es der Gruppe, beispielsweise ein Arsenal an Malware zu entwickeln, die nach Belieben eingesetzt werden kann. Aber noch wichtiger ist, dass sie ausgebaut und weiterentwickelt werden kann, wenn sich die Verteidigungstechniken verbessern.
Immer in Bewegung
Die historische Abhängigkeit von der Reputation als Vehikel zur Identifizierung bösartiger Infrastrukturen wird immer weniger effektiv. Höflich ausgedrückt – und wie in dem Papier gezeigt – sehen wir, wie Kimsuky eine Infrastruktur auf der ganzen Welt aufbaut, aber bei Bedarf schnell neue Bereiche nutzt. Dies ist nur ein weiteres Beispiel dafür, wie diese Gruppe die Fähigkeit versteht und entwickelt, sich schnell zu bewegen, wenn sie neue Ziele identifiziert.
Anschließend bietet die Veröffentlichung taktische, umsetzbare Einblicke in die Abwehrmaßnahmen, die ergriffen werden können. So enthält das Papier beispielsweise vollständige Details zur Abdeckung sowie Persistenzmaßnahmen des Bedrohungsakteurs, die ein kritischer Indikator für eine Kompromittierung bei rückwirkenden Bedrohungsjagden sind. Alle TTPs, die in diesem Dokument beschrieben werden, sind auch in die Nachweisabdeckung des gesamten Rapid7-Portfolios integriert, wie im letzten Abschnitt beschrieben.