- 21,968
- 46
- 8 Ноя 2022
Вместо релаксации жертвы получили нечто совершенно противоположное.
Северокорейская хакерская кампания, связанная с группой KONNI, провела серию целевых атак на мобильные устройства Android в Южной Корее, впервые задействовав легитимный сервис Google Find Hub для удалённой очистки данных.
Как выяснили специалисты компании Genians, злоумышленники получали доступ к аккаунтам жертв, включая Google и Naver, а затем инициировали удалённый сброс смартфонов и планшетов, чтобы стереть личную информацию. Это позволило не только нарушить работу устройств, но и одновременно скрыть следы атаки, подготовив почву для последующего распространения вредоносных файлов через скомпрометированные аккаунты KakaoTalk.
Инцидент начался с таргетированных фишинговых писем, в которых фигурировали поддельные уведомления от налоговой службы Южной Кореи. Жертвами стали в том числе психологи, работающие с молодыми северокорейскими перебежчиками. Открытие вложений приводило к загрузке исполняемого файла, замаскированного под программу для снятия стресса. После заражения злоумышленники использовали доступ к мессенджеру KakaoTalk на ПК, чтобы рассылать заражённые архивы знакомым пострадавших.
Ключевым элементом вредоносной цепочки стала программа установки MSI, подписанная цифровым сертификатом китайской компании. Внутри неё содержались сценарии на AutoIt, выполнявшие установку и скрытую активацию вредоносных компонентов.
Один из таких скриптов, IoKlTr.au3, запускался по расписанию и обеспечивал удалённый контроль над системой, включая кражу данных, захват изображений с веб-камеры и подключение к управляющим серверам в Германии, Японии и Нидерландах. Злоумышленники также применяли поддельные диалоговые окна об ошибке, чтобы запутать пользователей и отсрочить выявление активности.
Кроме LilithRAT и RemcosRAT, были задействованы и другие разновидности троянов удалённого доступа, включая QuasarRAT и RftRAT. Анализ показал, что их исполняемые модули шифровались с помощью AES и загружались в системные процессы для маскировки. В качестве транспортной инфраструктуры злоумышленники использовали сайты на WordPress, а также хостинг в США и Европе. В ряде случаев они выстраивали многоуровневую структуру из промежуточных узлов, что затрудняло отслеживание источников атак.
Целью атак было не только удалённое наблюдение, но и разрушение данных. При помощи функции Find Hub злоумышленники отслеживали местоположение жертв и при их отсутствии запускали сброс устройств. Повторяющиеся команды стирания препятствовали восстановлению работы и лишали пользователей доступа к важным уведомлениям. В дальнейшем, уже через KakaoTalk, происходило распространение вредоносных файлов, что увеличивало охват атаки.
Все эти действия были направлены на создание устойчивой и незаметной инфраструктуры для шпионажа и разрушения, что подчёркивает высокий уровень подготовки и тактической зрелости нападавших. Специалисты настоятельно рекомендуют усиливать защиту аккаунтов двухфакторной аутентификацией, проверять получаемые файлы в мессенджерах, использовать камеры с индикаторами активности, а также внедрять поведенческий мониторинг с помощью EDR-систем для выявления и блокировки таких угроз на раннем этапе.
Северокорейская хакерская кампания, связанная с группой KONNI, провела серию целевых атак на мобильные устройства Android в Южной Корее, впервые задействовав легитимный сервис Google Find Hub для удалённой очистки данных.
Как выяснили специалисты компании Genians, злоумышленники получали доступ к аккаунтам жертв, включая Google и Naver, а затем инициировали удалённый сброс смартфонов и планшетов, чтобы стереть личную информацию. Это позволило не только нарушить работу устройств, но и одновременно скрыть следы атаки, подготовив почву для последующего распространения вредоносных файлов через скомпрометированные аккаунты KakaoTalk.
Инцидент начался с таргетированных фишинговых писем, в которых фигурировали поддельные уведомления от налоговой службы Южной Кореи. Жертвами стали в том числе психологи, работающие с молодыми северокорейскими перебежчиками. Открытие вложений приводило к загрузке исполняемого файла, замаскированного под программу для снятия стресса. После заражения злоумышленники использовали доступ к мессенджеру KakaoTalk на ПК, чтобы рассылать заражённые архивы знакомым пострадавших.
Ключевым элементом вредоносной цепочки стала программа установки MSI, подписанная цифровым сертификатом китайской компании. Внутри неё содержались сценарии на AutoIt, выполнявшие установку и скрытую активацию вредоносных компонентов.
Один из таких скриптов, IoKlTr.au3, запускался по расписанию и обеспечивал удалённый контроль над системой, включая кражу данных, захват изображений с веб-камеры и подключение к управляющим серверам в Германии, Японии и Нидерландах. Злоумышленники также применяли поддельные диалоговые окна об ошибке, чтобы запутать пользователей и отсрочить выявление активности.
Кроме LilithRAT и RemcosRAT, были задействованы и другие разновидности троянов удалённого доступа, включая QuasarRAT и RftRAT. Анализ показал, что их исполняемые модули шифровались с помощью AES и загружались в системные процессы для маскировки. В качестве транспортной инфраструктуры злоумышленники использовали сайты на WordPress, а также хостинг в США и Европе. В ряде случаев они выстраивали многоуровневую структуру из промежуточных узлов, что затрудняло отслеживание источников атак.
Целью атак было не только удалённое наблюдение, но и разрушение данных. При помощи функции Find Hub злоумышленники отслеживали местоположение жертв и при их отсутствии запускали сброс устройств. Повторяющиеся команды стирания препятствовали восстановлению работы и лишали пользователей доступа к важным уведомлениям. В дальнейшем, уже через KakaoTalk, происходило распространение вредоносных файлов, что увеличивало охват атаки.
Все эти действия были направлены на создание устойчивой и незаметной инфраструктуры для шпионажа и разрушения, что подчёркивает высокий уровень подготовки и тактической зрелости нападавших. Специалисты настоятельно рекомендуют усиливать защиту аккаунтов двухфакторной аутентификацией, проверять получаемые файлы в мессенджерах, использовать камеры с индикаторами активности, а также внедрять поведенческий мониторинг с помощью EDR-систем для выявления и блокировки таких угроз на раннем этапе.
- Источник новости
- www.securitylab.ru
