Código HTML do Conteúdo
Post: Playbook de Kimsuky Hackers descoberto no despejo de dados 'Kim' exposto - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Uma rara violação atribuída a um ator afiliado norte -coreano chamado “Kim” pelos vazadores revelou uma visão sem precedentes sobre as operações de Kimsuky (APT43). </p>
<p>Apelidado de dump “Kim”, o conjunto de dados de 9 GB inclui históricos de bash ativos, domínios de phishing, fluxos de trabalho de OCR, estagiários personalizados e evidências de rootkit linux –<a href="https://dti.domaintools.com/inside-the-kimsuky-leak-how-the-kim-dump-exposed-north-koreas-credential-theft-playbook/" rel="noreferrer noopener nofollow" target="_blank">revelado </a>Uma campanha híbrida que aproveita as ferramentas e a infraestrutura da língua chinesa para direcionar redes sul-coreanas e taiwanesas. </p>
<p>Este vazamento destaca um modelo de intrusão focado em credenciais destinado aos sistemas PKI do governo, avançado <a href="https://gbhackers.com/banking-aitm-phishing/" rel="noreferrer noopener" target="_blank">Aitm phishing</a>e persistência profunda do sistema.</p>
<h2 id="part-i-technical-analysis-of-the-dump-materials"><strong>Parte I: Análise técnica dos materiais de despejo</strong></h2>
<p><strong>Desenvolvimento interativo de malware</strong><br />Os arquivos de histórico de terminais demonstram montagem de malware em voo usando NASM para código de shell de baixo nível, com comandos de compilação e limpeza iterativa. Essa abordagem prática ressalta um carregador sob medida e um fluxo de trabalho da ferramenta de injeção.</p>
<p><strong>Reconhecimento orientado a OCR</strong><br />Os comandos OCR processaram PDFs em língua coreana nos padrões PKI e configurações de VPN. Executando <code>ocrmypdf -l kor+eng</code> contra documentos como <em>행정전자서명 _ 기술요건 _141125.pdf</em>o ator extraiu dados de certificado e configuração de rede para falsificação de falsificação e credenciais.</p>
<p><strong>Logs de gerenciamento de acesso privilegiado (PAM)</strong><br />As entradas de log do PAM marcadas com 변경완료 (“Alterar completas”) revelam rotações sistemáticas de contas de alto privilégio-Oracle, Svradmin, APP_ADM01-apontando para acesso de back-end sustentado.</p>
<p><strong>Infraestrutura de phishing sofisticada</strong><br />Uma rede de domínios falsificados (segurança nid[.]com, webcloud-noticice[.]com, Koala-App[.]com) imitou portais do governo coreano, implantando proxies do AITM para capturar credenciais em tempo real. E -mails do queimador (por exemplo, Jeder97271[@]WUZAK[.]com) Coleção de credenciais furtivas facilitadas.</p>
<p><strong>Implante de rootkit Linux</strong><br />O despejo contém um rootkit furtivo (vmmisc.ko) usando canais Syscall e guinchos secretos. Instalado em <code>/usr/lib64/tracker-fs/</code>esconde arquivos, processos e portas de rede enquanto oferece <a href="https://gbhackers.com/socks5systemz-proxy-hacked/" rel="noreferrer noopener" target="_blank">Socks5</a> Proxy, conchas PTY Backdoor e sessões de controle criptografadas por meio de um binário cliente protegido por senha.</p>
<p><strong>Reconnaissance de Taiwan</strong><br />Os registros de rede mostram acesso direcionado ao governo de Taiwan e IPS acadêmico (domínios .tw e rastreios diretos .git), indicando reconhecimento da cadeia de suprimentos destinado a repositórios internos e portais de autenticação em nuvem.</p>
<p>Falsificação mais sofisticada foi vista em locais que emulam agências governamentais oficiais como o DCC.mil[.]KR, Spo.go[.]KR e MOFA.GO[.]kr.</p>
<h2 id="part-ii-motivation-and-goals-of-the-apt-actor"><strong>Parte II: Motivação e objetivos do ator Apt</strong></h2>
<p><strong>Domínio de credenciais e comprometimento da PKI</strong><br />Central para a campanha é o roubo de certificados GPKI (por exemplo, <code>136백운규001_env.key</code>) e senhas de texto simples, permitindo falsificação de identidade em sistemas do governo sul -coreano. Language da política e os registros da PAM extraídos com OCR confirmam uma estratégia de colheita de credenciais, abuso de certificados e persistência no nível do insider.</p>
<p><figure><figcaption>Mapa de conexões de domínio.<br /></figcaption></figure>
</p>
<p><strong>Expansão para Taiwan</strong><br />Além da Coréia, o ator sondou portais corporativos de Taiwan (Tw.systexcloud[.]com, mlogin.mdfapps[.]com) e .git repositórios (caa.org[.]TW), sinalizando um mandato regional expandido para espionagem, <a href="https://gbhackers.com/supply-chain-attack-certification/" rel="noreferrer noopener" target="_blank">cadeia de mantimentos</a> infiltração e roubo de credencial.</p>
<p><strong>Pegada Hybrid DPRC -PRC</strong><br />Artefatos de língua coreana localizados e configurações de sistema UTC+9 apontam para a origem da RPDC, enquanto o uso extensivo de plataformas chinesas (Gitee, Baidu, Zhihu) e o comportamento simplificado da navegação chinesa indicam operação física dentro da China ou suporte à infraestrutura da PRC. Essa fusão amplifica o alcance e ofusca a atribuição.</p>
<p><strong>Persistência a longo prazo</strong><br />A compilação manual do código de shell, a implantação do rootkit e o phishing do AITM reflete uma mistura de táticas da velha escola com o engano moderno. A camuflagem cultural do operador – embutida em artefatos de mídia social chinesa – o escrava sua verdadeira identidade e permite iscas mais credíveis.</p>
<h2 id="part-iii-cti-report-compartment-for-analysts"><strong>Parte III: compartimento de relatório CTI para analistas</strong></h2>
<p><strong>Táticas, técnicas e procedimentos (TTPs)</strong></p>
<ul>
<li>Desenvolvimento de código de shell baseado em NASM e resolvido por hash <a href="https://gbhackers.com/top-fintech-api-security-plasse/" rel="noreferrer noopener" target="_blank">Chamadas de API</a>.</li>
<li>Extração de OCR da documentação coreana de PKI e VPN.</li>
<li>AITM phishing via proxies TLS e e -mails de queimadores.</li>
<li>Linux rootkit com syscall enganche e backdoor criptografado.</li>
<li>Reconhecimento direto de repositórios de Taiwan .git.</li>
</ul>
<p><strong>Recomendações</strong></p>
<ul>
<li>Monitore os artefatos da cadeia de ferramentas NASM nos hosts de desenvolvedores.</li>
<li>Detecte o uso da ferramenta OCR contra coleções de PDF sensíveis.</li>
<li>Bloco e sumidou domínios de phishing conhecidos e proxies AITM.</li>
<li>Empregue o monitoramento da integração do arquivo em caminhos de rootkit suspeitos.</li>
<li>Audite os logs Pam e SSH para entradas não autorizadas “변경완료”.</li>
</ul>
<p>Sem dúvida, uma análise mais aprofundada do dump “Kim” revelará novas idéias adicionais. Analistas e defensores devem continuar revisando e neutralizando qualquer ativo queimado restante ou infraestruturas clonadas para reduzir essa ameaça híbrida em evolução.</p>
<p><strong>Encontre esta história interessante! Siga -nos<a href="https://www.linkedin.com/company/cybersecurity-news/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/cyber_press_org" rel="noreferrer noopener" target="_blank">X</a>Para obter mais atualizações instantâneas</strong>.</p>
</div></div>