13/09/19
Киберпреступная группировка, предположительно связанная с Северной Кореей, провела вредоносную кампанию против американских организаций. Для сокрытия следов атак злоумышленники использовали устаревший файловый формат Kodak FlashPix (FPX), сообщают исследователи из компании Prevailion.
Группировка встраивает вредоносное ПО в файлы в формате FPX, поскольку такие файлы реже детектируются антивирусами по сравнению со стандартными файлами Visual Basic for Applications (VBA). По словам исследователей, злоумышленники рассылают жертвам вредоносные документы, в которых говорится о ядерном сдерживании, программе атомных подводных лодок Северной Кореи и экономических санкциях против северокорейского режима.
Исследователи связывают недавнюю кампанию с группировкой Kimsuky, также известной как Smoke Screen. Несмотря на то, что ранее группировка атаковала в основном южнокорейские аналитические центры и экспертов по обороне, сейчас целями преступников, похоже, стали американские компании. По предположениям специалистов, последняя вредоносная кампания началась после того, как киберкомандование США публично раскрыло вредоносные программы, которые исследователи безопасности связывают с северокорейской группировкой Lazarus, в прошлом использовавшей кибератаки для финансирования оружейной программы Пхеньяна.
Злоумышленники выполняли перечисление хоста с использованием файлов формата FPX для доступа к логинам и паролям пользователей. Они также воспользовались инструментарием управления Windows (Windows Management Instrumentation, WMI) с целью обнаружить, есть ли на системах жертвы определенные антивирусные решения, а именно Malwarebytes, Windows Defender, McAfee, Sophos или TrendMicro, прежде чем продолжить атаку.
По словам исследователей, данные атаки являются продолжением запущенной в 2018 году целевой фишинговой кампании BabyShark, нацеленной на «мозговые центры» в США.
