11/11/25
Как выяснили специалисты компании Genians, злоумышленники получали доступ к учётным записям жертв, включая Google и Naver, а затем пороводили удалённый сброс смартфонов и планшетов, чтобы стереть личную информацию. Это позволило не только нарушить работу устройств, но и одновременно скрыть следы атаки, подготовив почву для последующего распространения вредоносных файлов через скомпрометированные аккаунты KakaoTalk.
Происшествие началось с фишинговых писем, в которых фигурировали поддельные уведомления от налоговой службы Южной Кореи. Жертвами стали в том числе психологи, работающие с молодыми северокорейскими перебежчиками. Открытие вложений приводило к загрузке исполняемого файла, замаскированного под программу для снятия стресса. После заражения злоумышленники использовали доступ к мессенджеру KakaoTalk на ПК, чтобы рассылать заражённые архивы знакомым пострадавших.
Ключевым элементом вредоносной цепочки стала программа установки MSI, подписанная цифровым сертификатом китайской компании. Внутри неё содержались сценарии на AutoIt, выполнявшие установку и скрытую активацию вредоносных компонентов.
Один из таких скриптов, IoKlTr.au3, запускался по расписанию и обеспечивал удалённый контроль над системой, включая кражу данных, захват изображений с веб-камеры и подключение к управляющим серверам в Германии, Японии и Нидерландах. Злоумышленники также применяли поддельные диалоговые окна об ошибке, чтобы запутать пользователей и отсрочить выявление активности.
Кроме LilithRAT и RemcosRAT, были задействованы и другие разновидности троянов удалённого доступа, включая QuasarRAT и RftRAT. Анализ показал, что их исполняемые модули шифровались с помощью AES и загружались в системные процессы для маскировки. В качестве транспортной инфраструктуры злоумышленники использовали сайты на WordPress, а также хостинг в США и Европе. В ряде случаев они выстраивали многоуровневую структуру из промежуточных узлов, что затрудняло отслеживание источников атак.
Целью атак было не только удалённое наблюдение, но и разрушение данных. При помощи функции Find Hub злоумышленники отслеживали местоположение жертв и при их отсутствии запускали сброс устройств. Повторяющиеся команды стирания препятствовали восстановлению работы и лишали пользователей доступа к важным уведомлениям. В дальнейшем, уже через KakaoTalk, происходило распространение вредоносных файлов, что увеличивало охват атаки.
