Свързаният със Северна Корея колектив, известен като Kimsuky (известен още като Black Banshee, Emerald Sleet или Springtail), е наблюдаван да променя тактиката си, използвайки файловете Compiled HTML Help (CHM) като вектори за предаване на зловреден софтуер за събиране на чувствителни данни.
Известно е, че Kimsuky, който е активен поне от 2012 г., е насочен към структури, разположени в Южна Корея, както и в Северна Америка, Азия и Европа.
Според Rapid7 веригите за атаки са използвали оръжия от документи на Microsoft Office, ISO файлове и файлове с преки пътища на Windows (LNK), като групата е използвала и CHM файлове за разполагане на зловреден софтуер на компрометирани хостове.
Фирмата за киберсигурност приписва дейността на Kimsuky с умерена увереност, позовавайки се на подобни умения, наблюдавани в миналото.
„Макар че първоначално са били предназначени за помощна документация, CHM файловете са били използвани и за злонамерени цели, като например разпространение на зловреден софтуер, тъй като при отварянето им може да се изпълнява JavaScript“, заяви компанията.
Файлът CHM се разпространява в рамките на ISO, VHD, ZIP или RAR файл, при отварянето на който се изпълнява Visual Basic Script (VBScript), за да се установи устойчивост и да се достигне до отдалечен сървър, за да се изтегли полезен товар на следващ етап, отговорен за събирането и ексфилтрирането на чувствителни данни.
Rapid7 описва атаките като продължаващи и развиващи се, насочени към организации, базирани в Южна Корея. Тя идентифицира и алтернативна последователност на заразяване, която използва CHM файл като отправна точка за пускане на пакетни файлове, натоварени със събирането на информация, и PowerShell скрипт за свързване със C2 сървър и прехвърляне на данните.
„Начинът на действие и повторното използване на кода и инструментите показват, че заплахата активно използва и усъвършенства/основава своите техники и тактики за събиране на информация от жертвите“, се казва в доклада.
Разработката идва в момент, когато Symantec, собственост на Broadcom, разкри, че Kimsuky разпространяват зловреден софтуер, представящ се за приложение от легитимна корейска публична организация.
„След като бъде компрометиран, дропърът инсталира зловреден софтуер Endoor backdoor“, заяви Symantec. „Тази заплаха позволява на нападателите да събират чувствителна информация от жертвата или да инсталират допълнителен зловреден софтуер“.
Заслужава да се отбележи, че базираният на Golang Endoor, заедно с Troll Stealer (известен още като TrollAgent), наскоро беше използван във връзка с кибератаки, насочени към потребители, които изтеглят програми за сигурност от уебсайта на корейска асоциация, свързана със строителството.
Констатациите идват и на фона на инициираното от ООН разследване на 58 предполагаеми кибератаки, извършени от севернокорейски национални участници в периода 2017-2023 г., които са донесли незаконни приходи в размер на 3 млрд. долара, за да подпомогнат по-нататъшното развитие на програмата ѝ за ядрени оръжия.
„Съобщава се, че големият обем кибератаки от страна на хакерски групи, подчинени на Главното разузнавателно бюро, продължава“, се казва в доклада. „Тенденциите включват насочване към отбранителни компании и вериги за доставки и, все по-често, споделяне на инфраструктура и инструменти.“
„Kimsuky проявява интерес към използването на генеративен изкуствен интелект, включително големи езикови модели, потенциално за кодиране или писане на фишинг имейли“, се казва още в доклада. „Наблюдавано е, че Kimsuky използва ChatGPT.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.