Севернокорейската група за напреднали постоянни заплахи (APT), известна като Kimsuky, е наблюдавана да използва персонализиран зловреден софтуер, наречен RandomQuery, като част от операция за разузнаване и ексфилтриране на информация.
„Напоследък Kimsuky последователно разпространява персонализиран зловреден софтуер като част от разузнавателни кампании, за да даде възможност за последващи атаки“, казват изследователите от SentinelOne Александър Миленкоски и Том Хегел в публикуван днес доклад.
Според фирмата за киберсигурност продължаващата целенасочена кампания е насочена предимно към информационните служби, както и към организации, подкрепящи активисти за човешки права и севернокорейски дезертьори.
Kimsuky, активен от 2012 г. насам, е показал модели на насочване, които съответстват на оперативните мандати и приоритети на Северна Корея.
Мисиите за събиране на разузнавателна информация са включвали използването на разнообразен набор от зловреден софтуер, включително друга разузнавателна програма, наречена ReconShark, както беше подробно описано от SentinelOne по-рано този месец.
Последният клъстер на активност, свързан с групата, е започнал на 5 май 2023 г. и използва вариант на RandomQuery, който е специално разработен за преброяване на файлове и извличане на чувствителни данни.
RandomQuery, заедно с FlowerPower и AppleSeed, са сред най-често разпространяваните инструменти в арсенала на Kimsuky, като първият функционира като средство за кражба на информация и канал за разпространение на троянски коне за отдалечен достъп като TutRAT и xRAT.
Атаките започват с фишинг имейли, за които се твърди, че са от Daily NK, известно базирано в Сеул онлайн издание, което отразява събитията в Северна Корея, за да подтикнат потенциалните цели да отворят файл Microsoft Compiled HTML Help (CHM).
На този етап си струва да се отбележи, че CHM файловете са били използвани като примамка и от друг севернокорейски национален конгломерат, наречен ScarCruft.
Стартирането на CHM файла води до изпълнение на Visual Basic Script, който подава HTTP GET заявка към отдалечен сървър за извличане на полезния товар от втория етап – VBScript вариант на RandomQuery.
След това зловредният софтуер събира системни метаданни, текущи процеси, инсталирани приложения и файлове от различни папки, които се предават обратно на сървъра за управление и контрол (C2).
„Тази кампания също така демонстрира последователния подход на групата за доставяне на зловреден софтуер чрез CHM файлове“, казват изследователите.
„Тези инциденти подчертават постоянно променящия се пейзаж на севернокорейските групи за заплахи, чиито правомощия обхващат не само политически шпионаж, но и саботаж и финансови заплахи.“
Констатациите идват дни след като Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) разкри атака „watering hole“, организирана от Kimsuky, която включва създаването на подобна на уебмейл система, използвана от институти за изследване на националната политика, за да се събират идентификационните данни, въведени от жертвите.
Във връзка с това Kimsuky е свързан и с атаки, при които уязвими сървъри на Windows Internet Information Services (IIS) се използват за пускане на рамката за последващо експлоатиране Metasploit Meterpreter, която след това се използва за внедряване на зловреден софтуер, базиран на Go.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.