Анализ APT-атаки Kimsuky с использованием фишинга и скрытого доступа

Группа Kimsuky провела фишинговую атаку с использованием замаскированного документа для рецензирования диссертации

Недавно аналитический центр безопасности Ahnlab (ASEC) зафиксировал новую фишинговую атаку, организованную группой Kimsuky. Злоумышленники использовали социальную инженерию, замаскировав вредоносный файл под запрос на рецензирование диссертации, что позволило им привлечь внимание целевой аудитории и обойти базовые меры защиты.

Особенности атаки и используемые технологии

Атака была осуществлена с помощью корейского документа, в который внедрён вредоносный OLE-объект. Для доступа к документу пользователям требовался пароль, что повышало доверие и снижало подозрения. Файл содержал информацию под названием «Milly Tech и направления будущей войны на примере войны с Россией и будущей войны будущего», что соответствует интересам целевого сообщества.

При открытии документа запускается цепочка действий:

• Создаётся запланированная задача, копирующая вредоносный исполняемый файл cool.exe в директорию C:UsersPublicMusic.
• Одновременно туда же размещаются сопутствующие файлы — cool.exe.manifest и PowerShell-скрипт template.ps1.
• Скрипт template.ps1 инициирует дальнейшую загрузку дополнительных компонентов и обеспечивает взаимодействие с инфраструктурой командования и контроля (C2).

Для хранения и передачи команд злоумышленники используют легальные облачные сервисы, например, Dropbox. Это позволяет скрыть трафик и усложнить выявление вредоносной активности.

Механизм скрытого доступа и обход обнаружения

Вредоносное ПО работает в скрытом режиме. На целевой машине устанавливается легитимное приложение AnyDesk, однако его иконка в трее и окно пользовательского интерфейса управляются с помощью PowerShell-скриптов, которые делают их невидимыми для обычного пользователя. Это предотвращает подозрения и позволяет злоумышленникам поддерживать постоянный удалённый доступ к системе.

Кто стоит за атакой? Характеристика группы Kimsuky

Группа Kimsuky известна своей специализацией на APT-атаках (Advanced Persistent Threat) и склонностью маскироваться под законные организации для повышения эффективности фишинга. Основные цели — избранные учреждения и организации, особенно в сфере политики и национальной безопасности.

Эксперты отмечают, что в последние годы Kimsuky всё активнее использует:

• Легальное программное обеспечение для прикрытия вредоносной активности.
• Облачные сервисы (Google Drive, Dropbox и другие) для коммуникаций C2, что обеспечивает дополнительную анонимность.

Рекомендации по повышению безопасности

Очевидно, что угрозы такого уровня требуют повышенной бдительности со стороны пользователей и организаций. Специалисты рекомендуют:

• Внимательно проверять источники входящих файлов и ссылок, особенно если речь идёт о неожиданных документах с паролями.
• Осознавать опасность выполнения документов с подозрительными OLE-объектами.
• Обращать внимание на расширения файлов и использовать средства защиты, блокирующие запуск подозрительного кода.
• Обновлять антивирусные решения и системы безопасности, способные обнаруживать современные техники обхода.

Данная атака вновь подчёркивает важность комплексного подхода к кибербезопасности и информированности конечных пользователей — ключевых звеньев в защите от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.