12/12/23
По данным AhnLab Security Emergency Response Center (ASEC), северокорейская хакерская группа Kimsuky осуществила серию нападений на исследовательские институты в Южной Корее. Главная цель атак – распространение бэкдоров в скомпрометированных системах для дальнейшей кражи информации и выполнения команд.
Цепочка атаки начинается с распространения JSE-файлов (JScript Encoded File), замаскированных под импортные декларации. Файл содержит замаскированные (Base64) скрипты PowerShell, зашифрованные данные и документ-приманку в формате PDF. Этот этап включает в себя открытие PDF-файла в качестве отвлекающего маневра, в то время как скрипт PowerShell в фоновом режиме активирует бэкдор.
Бэкдор, в свою очередь, настроен на сбор сетевой информации и других соответствующих данных (например, имя хоста, имя пользователя, версию операционной системы) и передачу закодированных данных на удаленный сервер. Кроме того, бэкдор способен выполнять команды, запускать дополнительные нагрузки и самоуничтожаться, обеспечивая удаленный доступ к зараженному хосту.
Кроме того, группа использовала подставные URL-адреса для скачивания поддельных ZIP-архивов, маскирующихся под обновления браузера Chrome, и развертывания вредоносного VBScript с Google Drive, используя облачное хранилище для кражи данных и в качестве сервера управления и контроля (Command and Control, C2).
Kimsuky активна с 2012 года и первоначально нацелена на правительственные учреждения Южной Кореи, аналитические центры и экспертов в различных областях, напоминает Securitylab. Позже группа расширила свою деятельность, охватив Европу и США. В декабре Министерство финансов США ввело санкции против Kimsuky за сбор разведданных для поддержки стратегических целей Северной Кореи, включая геополитические события, внешнюю политику и дипломатические усилия.
