- 26,879
- 46
- 8 Ноя 2022
Касперский раскрыл новую кампанию Kimsuky.
Кибергруппировка Kimsuky обновила инструменты для атак на госструктуры, оборонные компании и частный сектор. Злоумышленники по-прежнему начинают с фишинговых писем, но после заражения всё чаще прячут удалённый доступ за легальными сервисами, включая Visual Studio Code, DWAgent, Cloudflare Quick Tunnels и Ngrok, сообщил Касперский.
Атака начинается с письма под видом рабочего документа, анкеты, коммерческого предложения, материала от госоргана или личного файла. Во вложении скрывается загрузчик в формате JSE, EXE, PIF или SCR. После запуска приманка открывает обычный документ, а вредоносный код распаковывается на диск, использует системные инструменты Windows и запускает один из модулей Kimsuky.
Исследователи связали свежие атаки с двумя основными цепочками вредоносов: PebbleDash и AppleSeed. PebbleDash чаще применяют против оборонного сектора, AppleSeed заметнее связан с атаками на государственные организации. В новых образцах PebbleDash специалисты нашли HelloDoor, httpMalice, MemLoad и httpTroy.
HelloDoor стал первым найденным у Kimsuky бэкдором на Rust. Возможности вредоноса пока выглядят ограниченными, поэтому исследователи считают версию ранней. В коде HelloDoor также обнаружились признаки возможного использования большой языковой модели: комментарии с эмодзи и характерные отладочные строки. При этом в тексте остались опечатки, поэтому часть комментариев могла появиться вручную до или после помощи ИИ.
Самым развитым компонентом в отчёте выглядит httpMalice. Бэкдор собирает сведения о заражённом компьютере, проверяет уровень прав, закрепляется через службу Windows или автозапуск в реестре, отправляет снимки экрана и ждёт команды с управляющего сервера. Через httpMalice оператор может выполнять команды, скачивать файлы, отправлять архивы каталогов, загружать новую полезную нагрузку в память и удалять следы присутствия.
Связка MemLoad и httpTroy помогает Kimsuky осторожнее закрепляться в системе. MemLoad проверяет окружение, оценивает заражённый компьютер, создаёт запланированную задачу и загружает дополнительный модуль. Затем httpTroy обеспечивает длительный доступ и вывод данных с устройства.
AppleSeed развивается отдельно. В актуальной цепочке вредонос собирает документы, скриншоты, нажатия клавиш, сведения об USB-накопителях и каталог C:\GPKI. В Южной Корее такой каталог может содержать цифровые сертификаты для доступа чиновников и государственных систем, поэтому кража данных даёт атакующим не только файлы, но и потенциальный путь к новым целям.
Отдельное внимание исследователи обратили на легальные инструменты. Kimsuky использовала функцию Remote Tunneling в Visual Studio Code: дроппер скачивал официальный клиент VSCode, создавал туннель через GitHub-аутентификацию и отправлял оператору адрес для подключения. Для защитных систем такой трафик выглядит как обычная связь с инфраструктурой Microsoft, а не как работа вредоносного управляющего сервера.
Похожую роль выполнял DWAgent. Злоумышленники устанавливали программу удалённого администрирования с заранее подготовленной конфигурацией, привязанной к собственному аккаунту. После запуска DWService оператор сразу получал удалённый доступ к устройству через легитимные серверы сервиса.
Касперский считает, что обе цепочки атак связаны с Kimsuky: на это указывают одинаковые способы доставки, пересекающиеся цели, похожие технические признаки и образцы, подписанные одним украденным сертификатом. Новая кампания показывает, что группировка не бросает старые разработки, а постепенно дорабатывает код и смешивает вредоносные модули с легальными инструментами, чтобы дольше оставаться незаметной.
Кибергруппировка Kimsuky обновила инструменты для атак на госструктуры, оборонные компании и частный сектор. Злоумышленники по-прежнему начинают с фишинговых писем, но после заражения всё чаще прячут удалённый доступ за легальными сервисами, включая Visual Studio Code, DWAgent, Cloudflare Quick Tunnels и Ngrok, сообщил Касперский.
Атака начинается с письма под видом рабочего документа, анкеты, коммерческого предложения, материала от госоргана или личного файла. Во вложении скрывается загрузчик в формате JSE, EXE, PIF или SCR. После запуска приманка открывает обычный документ, а вредоносный код распаковывается на диск, использует системные инструменты Windows и запускает один из модулей Kimsuky.
Исследователи связали свежие атаки с двумя основными цепочками вредоносов: PebbleDash и AppleSeed. PebbleDash чаще применяют против оборонного сектора, AppleSeed заметнее связан с атаками на государственные организации. В новых образцах PebbleDash специалисты нашли HelloDoor, httpMalice, MemLoad и httpTroy.
HelloDoor стал первым найденным у Kimsuky бэкдором на Rust. Возможности вредоноса пока выглядят ограниченными, поэтому исследователи считают версию ранней. В коде HelloDoor также обнаружились признаки возможного использования большой языковой модели: комментарии с эмодзи и характерные отладочные строки. При этом в тексте остались опечатки, поэтому часть комментариев могла появиться вручную до или после помощи ИИ.
Самым развитым компонентом в отчёте выглядит httpMalice. Бэкдор собирает сведения о заражённом компьютере, проверяет уровень прав, закрепляется через службу Windows или автозапуск в реестре, отправляет снимки экрана и ждёт команды с управляющего сервера. Через httpMalice оператор может выполнять команды, скачивать файлы, отправлять архивы каталогов, загружать новую полезную нагрузку в память и удалять следы присутствия.
Связка MemLoad и httpTroy помогает Kimsuky осторожнее закрепляться в системе. MemLoad проверяет окружение, оценивает заражённый компьютер, создаёт запланированную задачу и загружает дополнительный модуль. Затем httpTroy обеспечивает длительный доступ и вывод данных с устройства.
AppleSeed развивается отдельно. В актуальной цепочке вредонос собирает документы, скриншоты, нажатия клавиш, сведения об USB-накопителях и каталог C:\GPKI. В Южной Корее такой каталог может содержать цифровые сертификаты для доступа чиновников и государственных систем, поэтому кража данных даёт атакующим не только файлы, но и потенциальный путь к новым целям.
Отдельное внимание исследователи обратили на легальные инструменты. Kimsuky использовала функцию Remote Tunneling в Visual Studio Code: дроппер скачивал официальный клиент VSCode, создавал туннель через GitHub-аутентификацию и отправлял оператору адрес для подключения. Для защитных систем такой трафик выглядит как обычная связь с инфраструктурой Microsoft, а не как работа вредоносного управляющего сервера.
Похожую роль выполнял DWAgent. Злоумышленники устанавливали программу удалённого администрирования с заранее подготовленной конфигурацией, привязанной к собственному аккаунту. После запуска DWService оператор сразу получал удалённый доступ к устройству через легитимные серверы сервиса.
Касперский считает, что обе цепочки атак связаны с Kimsuky: на это указывают одинаковые способы доставки, пересекающиеся цели, похожие технические признаки и образцы, подписанные одним украденным сертификатом. Новая кампания показывает, что группировка не бросает старые разработки, а постепенно дорабатывает код и смешивает вредоносные модули с легальными инструментами, чтобы дольше оставаться незаметной.
- Источник новости
- www.securitylab.ru
