20/03/24
ИБ-компания Securonix обнаружила новую кампанию, в ходе которой хакеры используют сложные методы для заражения компьютеров на Windows и похищения конфиденциальных данных. Кампания, получившая название DEEP#GOSU, предположительно связана с северокорейской группировкой Kimsuky, пишет Securitylab.
Согласно отчету Securonix, многоступенчатое вредоносное ПО обладает следующими функциями:
- незаметная работа в Windows;
- регистрация нажатий клавиш (кейлоггинг);
- мониторинг буфера обмена;
- выполнение полезных нагрузок;
- эксфильтрация данных;
- обеспечение устойчивости с использованием как ПО для удаленного доступа, так и запланированных задач и самовыполняющихся скриптов PowerShell.
Одной из особенностей вредоносного ПО является способность маскироваться под легитимный трафик за счет использования Dropbox или Google Документы для управления и контроля (Command and Control, C2), что делает его незаметным для сетевого мониторинга, а также позволяет обновлять функционал программы или загружать дополнительные модули.
В основе кампании лежит распространение вредоносных электронных писем с ZIP-архивом, который содержит документ-приманку в формате PDF. Однако в действительности, открывая документ, пользователь запускает скрипт PowerShell, который дальше связывается с Dropbox для загрузки и выполнения дополнительных вредоносных скриптов.
Скрипты обладают способностью собирать данные с компьютера жертвы, включая регистрацию нажатий клавиш и мониторинг буфера обмена, что позволяет злоумышленникам перехватывать пароли и другую конфиденциальную информацию.
Кроме того, для поддержания доступа к зараженным системам и управления ими, атакующие используют разнообразные техники, включая создание запланированных задач и скриптов, которые автоматически выполняются, обеспечивая длительное присутствие в системе без обнаружения.
Интересно, что группа Kimsuky уже использовала подобные методы в прошлом, что подчеркивает необходимость повышенной бдительности со стороны организаций и частных лиц в защите своих данных.
