Търсене
Close this search box.

Свързаният със Северна Корея Kimsuky преминава към компилирани HTML помощни файлове при текущи кибератаки

Свързаният със Северна Корея колектив, известен като Kimsuky (известен още като Black Banshee, Emerald Sleet или Springtail), е наблюдаван да променя тактиката си, използвайки файловете Compiled HTML Help (CHM) като вектори за предаване на зловреден софтуер за събиране на чувствителни данни.

Известно е, че Kimsuky, който е активен поне от 2012 г., е насочен към структури, разположени в Южна Корея, както и в Северна Америка, Азия и Европа.

Според Rapid7 веригите за атаки са използвали оръжия от документи на Microsoft Office, ISO файлове и файлове с преки пътища на Windows (LNK), като групата е използвала и CHM файлове за разполагане на зловреден софтуер на компрометирани хостове.

Фирмата за киберсигурност приписва дейността на Kimsuky с умерена увереност, позовавайки се на подобни умения, наблюдавани в миналото.

„Макар че първоначално са били предназначени за помощна документация, CHM файловете са били използвани и за злонамерени цели, като например разпространение на зловреден софтуер, тъй като при отварянето им може да се изпълнява JavaScript“, заяви компанията.

Файлът CHM се разпространява в рамките на ISO, VHD, ZIP или RAR файл, при отварянето на който се изпълнява Visual Basic Script (VBScript), за да се установи устойчивост и да се достигне до отдалечен сървър, за да се изтегли полезен товар на следващ етап, отговорен за събирането и ексфилтрирането на чувствителни данни.

Rapid7 описва атаките като продължаващи и развиващи се, насочени към организации, базирани в Южна Корея. Тя идентифицира и алтернативна последователност на заразяване, която използва CHM файл като отправна точка за пускане на пакетни файлове, натоварени със събирането на информация, и PowerShell скрипт за свързване със C2 сървър и прехвърляне на данните.

„Начинът на действие и повторното използване на кода и инструментите показват, че  заплахата активно използва и усъвършенства/основава своите техники и тактики за събиране на информация от жертвите“, се казва в доклада.

Разработката идва в момент, когато Symantec, собственост на Broadcom, разкри, че  Kimsuky разпространяват зловреден софтуер, представящ се за приложение от легитимна корейска публична организация.

„След като бъде компрометиран, дропърът инсталира зловреден софтуер Endoor backdoor“, заяви Symantec. „Тази заплаха позволява на нападателите да събират чувствителна информация от жертвата или да инсталират допълнителен зловреден софтуер“.

Заслужава да се отбележи, че базираният на Golang Endoor, заедно с Troll Stealer (известен още като TrollAgent), наскоро беше използван във връзка с кибератаки, насочени към потребители, които изтеглят програми за сигурност от уебсайта на корейска асоциация, свързана със строителството.
Констатациите идват и на фона на инициираното от ООН разследване на 58 предполагаеми кибератаки, извършени от севернокорейски национални участници в периода 2017-2023 г., които са донесли незаконни приходи в размер на 3 млрд. долара, за да подпомогнат по-нататъшното развитие на програмата ѝ за ядрени оръжия.

„Съобщава се, че големият обем кибератаки от страна на хакерски групи, подчинени на Главното разузнавателно бюро, продължава“, се казва в доклада. „Тенденциите включват насочване към отбранителни компании и вериги за доставки и, все по-често, споделяне на инфраструктура и инструменти.“

 

„Kimsuky проявява интерес към използването на генеративен изкуствен интелект, включително големи езикови модели, потенциално за кодиране или писане на фишинг имейли“, се казва още в доклада. „Наблюдавано е, че Kimsuky използва ChatGPT.“

 

 

Източник: DARKReading

Подобни публикации

15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
27/03/2024

И Финландия погна китайска...

Във вторник финландската полиция потвърди, че...
27/03/2024

САЩ разби китайска група, к...

В понеделник Министерството на правосъдието на...
Последно добавени
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!