Una filtración masiva de herramientas internas, puertas traseras y artefactos de recolección de inteligencia atribuidos al grupo apto patrocinado por Corea del Norte Kimsuky ha sido publicado en línea por presuntos insidentes.
El volcado de 34,000 páginas expone la infraestructura de phishing en vivo, las puertas traseras de nivel de núcleo, las cargas útiles de huelga de cobalto y los certificados del gobierno robado.
Control de llave
1. Fuga interna del juego de herramientas de phishing completo de Kimsuky dirigido a DCC.MIL.KR.
2. Descubrimiento de Tomcat Kernel LKM Backdoor y Custom Cobalt Strike Beacon.
3. El compromiso incluye certificados GPKI robados, código de correo electrónico MOFA y acceso ONNARA_SSO a redes internas de Corea del Sur.
Violación de datos de los hackers de Kimsuky
Según Saber (“Cyborg”) el archivo incluir La fuente completa para una plataforma de phishing personalizada utilizada contra el Comando de contrainteligencia de Defensa de Corea del Sur (DCC.MIL.KR). La violación revela archivos como Generator (.) PHP y config (.) Php, que contiene:
Una lista negra IP en config.php bloquea los escáneres de proveedores de seguridad (Trend Micro, Google) de detectar el sitio falso.
Las víctimas que ingresan a las credenciales en el dominio HTTPS falsificado se redirigen inmediatamente a un https://dcc.mil (.) Kr Uri, lo que desencadena un error de inicio de sesión y enmascarando el robo de credenciales.
Entre los artefactos se encuentra una puerta trasera de núcleo remoto de Tomcat (LKM) que detecta un “golpe” secreto TCP SEQ + IP “Tocio” para generar un proceso maestro oculto.
Una vez activado, el módulo abre un canal cifrado SSL entre atacante y víctima. La contraseña maestra codificada “MIU2JACGXEDSXD” permanece constante en todas las implementaciones.
Además, se recuperó una baliza de ataque de cobalto privado escrita en Java, con parámetros de configuración:
BeaconType: HTTP Puerto: 8172 DIENTERA: 60842 MS Useragent: Mozilla/5.0 (Compatible; MSIE 9.0 …)
El directorio de código fuente (.idea/workspace.xml) muestra el desarrollo activo en junio de 2024.
La fuga también contiene un volcado completo del código de servidor de correo electrónico del Ministerio de Asuntos Exteriores de Corea del Sur (mofa.go.kr (.) 7z) y los certificados de infraestructura pública del gobierno robado protegidos por una utilidad Java agrietada (cert.java).
Los registros de la fuerza bruta registran los intentos de contraseña repetidos (5697452641) contra la unificación.go.kr y spo.go (.) Kr.
Los desarrolladores plantaron una herramienta SSO llamada Onnara_SSO con el código que hace referencia a Onnara9.saas.gcloud.go.kr, que indica un acceso persistente a los portales del gobierno interno.
Este volcado de datos sin precedentes ofrece a los defensores una mirada profunda a los TTP de Kimsuky: Knocking, implantes de núcleo en memoria, marcos C2 personalizados y abuso de certificados robados.
Las organizaciones en Corea del Sur y las naciones aliadas deben auditar inmediatamente los patrones de código expuestos, revocar certificados comprometidos e implementar la detección a nivel de red para combinaciones anómalas de ID TCP SEQ/IP.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
