Kimsuky отново нанасят удар с усъвършенстван разузнавателен софтуер

Севернокорейската група за напреднали постоянни заплахи (APT), известна като Kimsuky, е наблюдавана да използва персонализиран зловреден софтуер, наречен RandomQuery, като част от операция за разузнаване и ексфилтриране на информация.

„Напоследък Kimsuky последователно разпространява персонализиран зловреден софтуер като част от разузнавателни кампании, за да даде възможност за последващи атаки“, казват изследователите от SentinelOne Александър Миленкоски и Том Хегел в публикуван днес доклад.

Според фирмата за киберсигурност продължаващата целенасочена кампания е насочена предимно към информационните служби, както и към организации, подкрепящи активисти за човешки права и севернокорейски дезертьори.

Kimsuky, активен от 2012 г. насам, е показал модели на насочване, които съответстват на оперативните мандати и приоритети на Северна Корея.

Мисиите за събиране на разузнавателна информация са включвали използването на разнообразен набор от зловреден софтуер, включително друга разузнавателна програма, наречена ReconShark, както беше подробно описано от SentinelOne по-рано този месец.

Последният клъстер на активност, свързан с групата, е започнал на 5 май 2023 г. и използва вариант на RandomQuery, който е специално разработен за преброяване на файлове и извличане на чувствителни данни.

RandomQuery, заедно с FlowerPower и AppleSeed, са сред най-често разпространяваните инструменти в арсенала на Kimsuky, като първият функционира като средство за кражба на информация и канал за разпространение на троянски коне за отдалечен достъп като TutRAT и xRAT.

Атаките започват с фишинг имейли, за които се твърди, че са от Daily NK, известно базирано в Сеул онлайн издание, което отразява събитията в Северна Корея, за да подтикнат потенциалните цели да отворят файл Microsoft Compiled HTML Help (CHM).

На този етап си струва да се отбележи, че CHM файловете са били използвани като примамка и от друг севернокорейски национален конгломерат, наречен ScarCruft.

Стартирането на CHM файла води до изпълнение на Visual Basic Script, който подава HTTP GET заявка към отдалечен сървър за извличане на полезния товар от втория етап – VBScript вариант на RandomQuery.

След това зловредният софтуер събира системни метаданни, текущи процеси, инсталирани приложения и файлове от различни папки, които се предават обратно на сървъра за управление и контрол (C2).

„Тази кампания също така демонстрира последователния подход на групата за доставяне на зловреден софтуер чрез CHM файлове“, казват изследователите.

„Тези инциденти подчертават постоянно променящия се пейзаж на севернокорейските групи за заплахи, чиито правомощия обхващат не само политически шпионаж, но и саботаж и финансови заплахи.“

Констатациите идват дни след като Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) разкри атака „watering hole“, организирана от Kimsuky, която включва създаването на подобна на уебмейл система, използвана от институти за изследване на националната политика, за да се събират идентификационните данни, въведени от жертвите.

Във връзка с това Kimsuky е свързан и с атаки, при които уязвими сървъри на Windows Internet Information Services (IIS) се използват за пускане на рамката за последващо експлоатиране Metasploit Meterpreter, която след това се използва за внедряване на зловреден софтуер, базиран на Go.

Източник: The Hacker News

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!