×

Северокорейские хакеры открыли новый изощренный способ атаки

Северокорейские хакеры открыли новый изощренный способ атаки

Киберпреступники сначала убеждаются в том, что атакуют правильную жертву.

Согласно новому отчету Лаборатории Касперского, северокорейская APT-группа Kimsuky проводит кампанию против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников.

Лаборатория Касперского ранее присвоила бэкдору группы название GoldDragon, а цепочки заражения привели к развертыванию вредоносных программ для Windows, предназначенных для сбора файлов, нажатий клавиш и кражи учетных данных для входа в веб-браузер.

В обнаруженной кампании Kimsuky использует фишинговые сообщения, содержащие документ Word с макросами, который предположительно содержат контент, связанный с геополитическими проблемами в регионе.


Группа использует преимущества файлов HTML-Application (HTA) и Compiled HTML Help (CHM) в качестве приманки для компрометации системы.

Независимо от используемого метода, после первоначального доступа происходит внедрение сценария Visual Basic Script с удаленного сервера, предназначенного для снятия цифрового отпечатка машины жертвы и извлечения дополнительных полезных данных, включая исполняемый файл для извлечения конфиденциальной информации.

Кампания содержит также новый метод атаки. Если получатель щелкнет ссылку в электронном письме для загрузки дополнительных документов, то его email-адрес передается на сервер управления и контроля (C&C). Если запрос не содержит ожидаемого email-адреса, то жертве открывается для скачивания легитимный незараженный документ.

Чтобы еще больше усложнить цепочку заражений, первый C&C-сервер перенаправляет IP-адрес жертвы на другой VBS-сервер, который затем сравнивает его со входящим запросом, который генерируется после открытия жертвой документа-приманки. «Проверка жертвы» на двух C&C-серверах гарантирует, что VBScript доставляется только после успешной проверки IP-адреса, что указывает на узконаправленную атаку.

По словам Лаборатории Касперского, группа Kimsuky постоянно развивает свои схемы заражения вредоносным ПО и внедряет новые методы, чтобы затруднить анализ. Основная трудность в отслеживании этой группы заключается в том, что сложно определить полную цепочку заражения.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.