Недавнее исследование Rapid7 Labs анализирует тактики северокорейской группы Kimsuky. Основная цель публикации — предоставить ценные сведения для поддержки команд безопасности в разработке эффективных защитных стратегий.
Исследование раскрывает методы доставки атак Kimsuky, преимущественно нацеленные на электронную почту. Ключевой аспект — точное определение целей и создание эффективных приманок. Группа уделяет значительное внимание выбору потенциальных «жертв», обеспечивая успешное проведение атак. Способность Kimsuky выявлять и компрометировать цели по всему миру свидетельствует о высоком уровне мастерства и умении вызывать нужную реакцию у жертв, пишет Securitylab.
Ранее в этом году отмечались технические инновации группы для обхода систем безопасности. Пример — использование файлов .LNK, созданных специальным конструктором. Подобные методы доставки вредоносного ПО указывают на постоянное совершенствование инструментов Kimsuky. Вероятно, в группе существует подразделение, занимающееся исключительно техническими инновациями для обхода средств обнаружения, позволяя создавать модернизируемый арсенал вредоносного ПО.
Традиционные методы выявления вредоносной инфраструктуры, основанные на репутации, становятся менее эффективными. Исследование показывает оперативное создание Kimsuky инфраструктуры по всему миру и использование новых доменов по необходимости. Факт свидетельствует о способности группы быстро адаптироваться и находить новые цели.
Публикация также предоставляет практические рекомендации по защитным мерам, включая подробные данные о способах обнаружения и противодействия, критические индикаторы компрометации.