Търсене
Close this search box.

Свързаният със Северна Корея Kimsuky преминава към компилирани HTML помощни файлове при текущи кибератаки

Свързаният със Северна Корея колектив, известен като Kimsuky (известен още като Black Banshee, Emerald Sleet или Springtail), е наблюдаван да променя тактиката си, използвайки файловете Compiled HTML Help (CHM) като вектори за предаване на зловреден софтуер за събиране на чувствителни данни.

Известно е, че Kimsuky, който е активен поне от 2012 г., е насочен към структури, разположени в Южна Корея, както и в Северна Америка, Азия и Европа.

Според Rapid7 веригите за атаки са използвали оръжия от документи на Microsoft Office, ISO файлове и файлове с преки пътища на Windows (LNK), като групата е използвала и CHM файлове за разполагане на зловреден софтуер на компрометирани хостове.

Фирмата за киберсигурност приписва дейността на Kimsuky с умерена увереност, позовавайки се на подобни умения, наблюдавани в миналото.

„Макар че първоначално са били предназначени за помощна документация, CHM файловете са били използвани и за злонамерени цели, като например разпространение на зловреден софтуер, тъй като при отварянето им може да се изпълнява JavaScript“, заяви компанията.

Файлът CHM се разпространява в рамките на ISO, VHD, ZIP или RAR файл, при отварянето на който се изпълнява Visual Basic Script (VBScript), за да се установи устойчивост и да се достигне до отдалечен сървър, за да се изтегли полезен товар на следващ етап, отговорен за събирането и ексфилтрирането на чувствителни данни.

Rapid7 описва атаките като продължаващи и развиващи се, насочени към организации, базирани в Южна Корея. Тя идентифицира и алтернативна последователност на заразяване, която използва CHM файл като отправна точка за пускане на пакетни файлове, натоварени със събирането на информация, и PowerShell скрипт за свързване със C2 сървър и прехвърляне на данните.

„Начинът на действие и повторното използване на кода и инструментите показват, че  заплахата активно използва и усъвършенства/основава своите техники и тактики за събиране на информация от жертвите“, се казва в доклада.

Разработката идва в момент, когато Symantec, собственост на Broadcom, разкри, че  Kimsuky разпространяват зловреден софтуер, представящ се за приложение от легитимна корейска публична организация.

„След като бъде компрометиран, дропърът инсталира зловреден софтуер Endoor backdoor“, заяви Symantec. „Тази заплаха позволява на нападателите да събират чувствителна информация от жертвата или да инсталират допълнителен зловреден софтуер“.

Заслужава да се отбележи, че базираният на Golang Endoor, заедно с Troll Stealer (известен още като TrollAgent), наскоро беше използван във връзка с кибератаки, насочени към потребители, които изтеглят програми за сигурност от уебсайта на корейска асоциация, свързана със строителството.
Констатациите идват и на фона на инициираното от ООН разследване на 58 предполагаеми кибератаки, извършени от севернокорейски национални участници в периода 2017-2023 г., които са донесли незаконни приходи в размер на 3 млрд. долара, за да подпомогнат по-нататъшното развитие на програмата ѝ за ядрени оръжия.

„Съобщава се, че големият обем кибератаки от страна на хакерски групи, подчинени на Главното разузнавателно бюро, продължава“, се казва в доклада. „Тенденциите включват насочване към отбранителни компании и вериги за доставки и, все по-често, споделяне на инфраструктура и инструменти.“

 

„Kimsuky проявява интерес към използването на генеративен изкуствен интелект, включително големи езикови модели, потенциално за кодиране или писане на фишинг имейли“, се казва още в доклада. „Наблюдавано е, че Kimsuky използва ChatGPT.“

 

 

Източник: DARKReading

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появи отново с н...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
Бъдете социални
Още по темата
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
09/09/2024

Шпионският софтуер Predator...

Шпионският софтуер Predator се е появил...
06/09/2024

Индийска пропаганда се разп...

След три години работа е разкрита...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!