От макросов к MSC: хакеры Kimsuky осваивают новую технику шпионажа
31/07/24
Специалисты DBAPPSecurity обнаружили, что северокорейская группировка Kimsuky использует в своих атаках MSC-файлы, чтобы избежать обнаружения и выполнить вредоносный код в целевой системе.
MSC-файлы (Microsoft Saved Console) используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов, пишет Securitylab.
При первоначальной загрузке на платформу VirusTotal ни один антивирусный движок не распознал файлы как вредоносные. Техника заражения хакеров, позволяющая выполнять произвольный код, получила название GrimResource.
Специалисты обнаружили аналогичные атаки с использованием MSC-файлов, направленные на пользователей из Китая. MSC-файлы используют XSS-уязвимость в библиотеке apds.dll, что позволяет выполнять произвольный JavaScript-код в контексте mmc.exe
MSC-файл выполняет эти действия, маскируясь под установочный файл популярного китайского переводчика YoudaoDict, который запрашивает выполнение вредоносного кода с удаленного сервера и создаёт задачи для запуска дополнительных вредоносных программ при входе пользователя в систему. В конечном итоге атака приводит к доставке вредоносной нагрузки и удаленному управлению зараженным компьютером.
Анализ показал, что обнаруженные образцы MSC-файлов могут быть связаны с китайской группировкой FaCai, которая была замечена в апреле 2024 года, когда использовала модифицированные версии RAT-трояна Gh0st. Сейчас хакеры активно применяют MSC-файлы. В процессе дальнейшего анализа были обнаружены и другие файлы FaCai, например, поддельные установочные файлы Chrome и документы с данными об образовательной сфере. Все файлы использовали аналогичные техники и инфраструктуру для выполнения вредоносных действий.
DBAPPSecurity предупреждает пользователей не открывать вложения из неизвестных источников. Для проверки подозрительных файлов рекомендуется использовать облачную песочницу, которая позволяет безопасно анализировать файлы в виртуальной среде, предотвращая заражение основной системы. Кроме того, лаборатория рекомендует обновить соответствующие продукты для защиты от новых угроз.