Севернокорейската група за напреднали постоянни заплахи (APT), известна като Kimsuky, е наблюдавана да използва персонализиран зловреден софтуер, наречен RandomQuery, като част от операция за разузнаване и ексфилтриране на информация.

„Напоследък Kimsuky последователно разпространява персонализиран зловреден софтуер като част от разузнавателни кампании, за да даде възможност за последващи атаки“, казват изследователите от SentinelOne Александър Миленкоски и Том Хегел в публикуван днес доклад.

Според фирмата за киберсигурност продължаващата целенасочена кампания е насочена предимно към информационните служби, както и към организации, подкрепящи активисти за човешки права и севернокорейски дезертьори.

Kimsuky, активен от 2012 г. насам, е показал модели на насочване, които съответстват на оперативните мандати и приоритети на Северна Корея.

Мисиите за събиране на разузнавателна информация са включвали използването на разнообразен набор от зловреден софтуер, включително друга разузнавателна програма, наречена ReconShark, както беше подробно описано от SentinelOne по-рано този месец.

Последният клъстер на активност, свързан с групата, е започнал на 5 май 2023 г. и използва вариант на RandomQuery, който е специално разработен за преброяване на файлове и извличане на чувствителни данни.

RandomQuery, заедно с FlowerPower и AppleSeed, са сред най-често разпространяваните инструменти в арсенала на Kimsuky, като първият функционира като средство за кражба на информация и канал за разпространение на троянски коне за отдалечен достъп като TutRAT и xRAT.

Атаките започват с фишинг имейли, за които се твърди, че са от Daily NK, известно базирано в Сеул онлайн издание, което отразява събитията в Северна Корея, за да подтикнат потенциалните цели да отворят файл Microsoft Compiled HTML Help (CHM).

На този етап си струва да се отбележи, че CHM файловете са били използвани като примамка и от друг севернокорейски национален конгломерат, наречен ScarCruft.

Стартирането на CHM файла води до изпълнение на Visual Basic Script, който подава HTTP GET заявка към отдалечен сървър за извличане на полезния товар от втория етап – VBScript вариант на RandomQuery.

След това зловредният софтуер събира системни метаданни, текущи процеси, инсталирани приложения и файлове от различни папки, които се предават обратно на сървъра за управление и контрол (C2).

„Тази кампания също така демонстрира последователния подход на групата за доставяне на зловреден софтуер чрез CHM файлове“, казват изследователите.

„Тези инциденти подчертават постоянно променящия се пейзаж на севернокорейските групи за заплахи, чиито правомощия обхващат не само политически шпионаж, но и саботаж и финансови заплахи.“

Констатациите идват дни след като Центърът за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC) разкри атака „watering hole“, организирана от Kimsuky, която включва създаването на подобна на уебмейл система, използвана от институти за изследване на националната политика, за да се събират идентификационните данни, въведени от жертвите.

Във връзка с това Kimsuky е свързан и с атаки, при които уязвими сървъри на Windows Internet Information Services (IIS) се използват за пускане на рамката за последващо експлоатиране Metasploit Meterpreter, която след това се използва за внедряване на зловреден софтуер, базиран на Go.

Източник: The Hacker News

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
17/01/2025

DORA: Провеждане на тестове...

Международният валутен фонд изчислява, че през...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!