Търсене
Close this search box.

Севернокорейската група за напреднали постоянни заплахи (APT), известна като Kimsuky, е наблюдавана да използва персонализиран зловреден софтуер, наречен RandomQuery, като част от операция за разузнаване и ексфилтриране на информация.

„Напоследък Kimsuky последователно разпространява персонализиран зловреден софтуер като част от разузнавателни кампании, за да даде възможност за последващи атаки“, казват изследователите от SentinelOne Александър Миленкоски и Том Хегел в публикуван днес доклад.

Според фирмата за киберсигурност продължаващата целенасочена кампания е насочена предимно към информационните служби, както и към организации, подкрепящи активисти за човешки права и севернокорейски дезертьори.

Kimsuky, активен от 2012 г. насам, е показал модели на насочване, които съответстват на оперативните мандати и приоритети на Северна Корея.

Мисиите за събиране на разузнавателна информация са включвали използването на разнообразен набор от зловреден софтуер, включително друга разузнавателна програма, наречена ReconShark, както беше подробно описано от SentinelOne по-рано този месец.

Последният клъстер на активност, свързан с групата, е започнал на 5 май 2023 г. и използва вариант на RandomQuery, който е специално разработен за преброяване на файлове и извличане на чувствителни данни.

RandomQuery, заедно с FlowerPower и AppleSeed, са сред най-често разпространяваните инструменти в арсенала на Kimsuky, като първият функционира като средство за кражба на информация и канал за разпространение на троянски коне за отдалечен достъп като TutRAT и xRAT.

Атаките започват с фишинг имейли, за които се твърди, че са от Daily NK, известно базирано в Сеул онлайн издание, което отразява събитията в Северна Корея, за да подтикнат потенциалните цели да отворят файл Microsoft Compiled HTML Help (CHM).

На този етап си струва да се отбележи, че CHM файловете са били използвани като примамка и от друг севернокорейски национален конгломерат, наречен ScarCruft.

Стартирането на CHM файла води до изпълнение на Visual Basic Script, който подава HTTP GET заявка към отдалечен сървър за извличане на полезния товар от втория етап – VBScript вариант на RandomQuery.

След това зловредният софтуер събира системни метаданни, текущи процеси, инсталирани приложения и файлове от различни папки, които се предават обратно на сървъра за управление и контрол (C2).

„Тази кампания също така демонстрира последователния подход на групата за доставяне на зловреден софтуер чрез CHM файлове“, казват изследователите.

„Тези инциденти подчертават постоянно променящия се пейзаж на севернокорейските групи за заплахи, чиито правомощия обхващат не само политически шпионаж, но и саботаж и финансови заплахи.“

Констатациите идват дни след като Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) разкри атака „watering hole“, организирана от Kimsuky, която включва създаването на подобна на уебмейл система, използвана от институти за изследване на националната политика, за да се събират идентификационните данни, въведени от жертвите.

Във връзка с това Kimsuky е свързан и с атаки, при които уязвими сървъри на Windows Internet Information Services (IIS) се използват за пускане на рамката за последващо експлоатиране Metasploit Meterpreter, която след това се използва за внедряване на зловреден софтуер, базиран на Go.

Източник: The Hacker News

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!