Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Северокорейские APT-группы значительно увеличили число атак на строительные и машиностроительные сектора Южной Кореи

07/08/24

hack korea-Aug-07-2024-10-23-55-9069-AM

Этот всплеск атак совпадает с политикой «Развитие местной промышленности 20×10», инициированной Ким Чен Ыном и направленной на модернизацию промышленных объектов по всей Северной Корее. Об этом пишет Securitylab.

Национальный центр кибербезопасности Южной Кореи (NCSC) и местные спецслужбы выпустили совместное предупреждение, в котором сообщили, что северокорейские хакеры особенно активно используют уязвимости обновлений VPN для проникновения в целевые сети.

В предупреждении также приведены другие важные детали, направленные на помощь организациям в предотвращении и минимизации потенциального ущерба, так как украденные данные могут быть использованы для развития промышленности и городской инфраструктуры Северной Кореи.

Так, в январе 2024 года группа Kimsuky провела сложную атаку на цепочку поставок через сайт южнокорейской строительной компании. Хакеры взломали программное обеспечение для аутентификации безопасности и захватили систему NX_PRNMAN.

Зловредное ПО под названием «TrollAgent», написанное на Go, заразило компьютеры государственных служащих, сотрудников общественных учреждений и строительных профессионалов, которые использовали скомпрометированный сайт для аутентификации. Кроме того, TrollAgent собирал информацию о системах, делал скриншоты и похищал всевозможные чувствительные данные, включая пароли из памяти браузеров, сертификаты GPKI, SSH-ключи и даже клиентские данные FileZilla.

Возвращаясь к последнему выявленному инциденту, в апреле 2024 года группа Andariel провела сложную атаку на южнокорейские строительные и машиностроительные компании, используя уязвимости в местных VPN и программном обеспечении для серверной безопасности. Атакующие воспользовались дырами в протоколах связи клиент-сервер, сосредоточенными на обновлениях, недостаточно защищённых процедурами аутентификации.

Метод Andariel включал отправку запросов, замаскированных под HTTP-пакеты, на пользовательские ПК, обходя процесс проверки, выполняемый VPN-клиентом. Они перенаправляли запросы на злонамеренный C2-сервер, выдавая его за легитимный VPN-сервер.

Распространение вредоносного ПО DoraRAT, замаскированного под обновление программного обеспечения, позволило хакерам Andariel получить удалённый контроль над заражёнными машинами, что указывает на изменение стратегий северокорейских кибератак и необходимость укрепления южнокорейской промышленной инфраструктуры.

Темы:ПреступленияAPT-группыКНДРгосударственные хакеры
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...