07/08/25
Целью стали государственные учреждения, подрядчики в сфере обороны и исследовательские организации Южной Кореи — их сотрудники получали электронные письма с архивами ZIP, содержащими вредоносные ярлыки LNK, тщательно замаскированные под обычные документы.
Запуск LNK-файла приводил к запуску mshta.exe, который подгружал удалённый HTML-приложение с CDN, пишет Securitylab. Внутри этого файла скрывался запутанный скрипт на VBScript — строковые переменные собирались с помощью хитрых преобразований CLng и Chr, что делало анализ кода почти невозможным для простых систем защиты. Одновременно запускался процесс, направленный на отвлечение внимания — пользователю подсовывалась PDF-приманка, оформленная под официальное уведомление от государственных органов о правонарушениях или штрафах.
Параллельно вредоносный скрипт проверял, включена ли Windows Defender, вызывая команду через cmd для уточнения статуса службы WinDefend. Если защитник работал, из сети подгружался архив с закодированными в Base64 PowerShell-скриптами, специализирующимися на сборе данных и перехвате нажатий клавиш. Для того чтобы такие скрипты не запускались повторно, в системе создавался временный файл с UUID-процессом. Скрипты также анализировали, не используется ли машина в виртуализированной среде VMware, Microsoft или VirtualBox, и обеспечивали автоматический запуск при следующем входе в систему, прописывая ключ в реестр под видом WindowsSecurityCheck.
Если же Windows Defender оказывался отключён, вредоносная цепочка переходила к другой стадии: загружался альтернативный HTA-файл с внедрёнными, закодированными в Base64 нагрузками. Вся загрузка происходила напрямую в память — без записи на диск, что исключало обнаружение файлами-ловушками. Для расшифровки полезной нагрузки применялся алгоритм RC4, а запуск происходил через функции VirtualAllocEx, WriteProcessMemory и CreateRemoteThread, которые позволяли внедрять вредоносный код в процессы системы и обходить стандартные проверки.
Особое внимание разработчики уделили краже учётных данных: внедрённый модуль специально искал в браузерах Chrome, Edge и Brave зашифрованный ключ app_bound_encrypted_key, необходимый для дальнейшей расшифровки паролей и cookie-файлов. Помимо этого, зловред сжимал каталоги сертификатов NPKI и GPKI, извлекал недавние документы, собирал информацию о расширениях браузеров и систематически искал файлы с чувствительными расширениями, в том числе те, что связаны с криптовалютой.
Все похищенные данные складывались в папку с уникальным именем в %TEMP%, архивировались в файл init.zip, который затем переименовывался в init.dat, после чего отправлялись на серверы управления через POST-запросы с разбивкой по мегабайту для маскировки под обычный интернет-трафик. Функция кейлоггера реализована с использованием стандартных Windows API для перехвата нажатий, отслеживания буфера обмена и активного окна — всё это аккуратно записывалось в k.log и периодически уходило на сервер.
В течение всей атаки вредонос поддерживал постоянную связь с управляющим сервером: каждые 10 минут выполнялись команды на отправку, загрузку и выполнение удалённых PowerShell-инструкций, что позволяло мгновенно подгружать новые модули и адаптировать поведение вредоноса в реальном времени.
Устойчивое совпадение методов с предыдущими кампаниями Kimsuky — характерные приманки на корейскую тематику и активная эксплуатация PowerShell — ещё раз подтверждает авторство именно этой группировки, о чём неоднократно говорилось в публичных отчётах за 2025 год. Сценарий атаки построен на комбинации социальной инженерии и грамотного использования легитимных инструментов системы, что значительно усложняет выявление угрозы.
