11/07/24
Недавно центр координации компьютерного реагирования Японии (JPCERT) подтвердил, что в марте этого года северокорейская хакерская группа Kimsuky совершила серию кибератак на японские организации. Агентство поделилось информацией с общественностью, а значит и мы с вами можем рассмотреть подробности и методы атак, выявленных экспертами.
Вредоносная кампания начинается с рассылки целевых писем с тематикой безопасности и дипломатии. Вложения содержат файлы с двойными расширениями, например, «.docx.exe» и «.docx.docx». Многочисленные пробелы в названиях файлов скрывают настоящие расширения, заставляя жертв запускать исполняемый файл под видом офисного документа, что и приводит к заражению их устройств, пишет Securitylab.
После запуска файла-приманки с внешнего ресурса скачивается и выполняется VBS-файл, загружающий PowerShell и вызывающий функцию PokDoc, которая отправляет собранные данные на заданный злоумышленниками URL. Собранные данные включают информацию о системе, процессах, сетях, файлах и учётных записях пользователей.
После отправки данных создаётся и выполняется ещё один VBS-файл с именем «desktop.ini.bak». Этот файл аналогично загружает PowerShell, вызывая функцию InfoKey для работы в качестве кейлоггера. Информация о нажатиях клавиш и содержимом буфера обмена сохраняется и отправляется на удалённый сервер.
Отмечается, что Kimsuky использует аналогичные методы атак, включая VBS и PowerShell, против организаций в Южной Корее. Это подтверждает, что за атакой на японские организации также стоит Kimsuky.
Несмотря на редкие сообщения о нападениях Kimsuky на японские организации, вероятность активных атак в Японии остаётся высокой. Последние отчёты указывают на использование CHM-файлов для выполнения кейлоггера, что требует повышенного внимания к подобным угрозам в будущем.
