СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.03.2025
#Dev#ИБ

APT-атаки Kimsuky: угрозы в условиях военного положения

APT-атаки Kimsuky: угрозы в условиях военного положения

Недавние события в Южной Корее, включая объявленное 3 декабря 2024 года чрезвычайное военное положение, стали почвой для новых APT-атак, связанных с группой Kimsuky. Эти атаки, использующие методы фишинга, способствуют распространению вредоносных файлов под предлогом законных документов, связанных с военной ситуацией в стране.

Тактика атак: фишинг и маскировка

Группа Kimsuky применяет несколько хитроумных тактик для достижения своих целей:

  • Фишинговые сообщения: В атаках используются электронные письма с идентификатором «CHAMSSAE», что позволяет вводить в заблуждение получателей.
  • Адаптация под операционные системы: Механизмы распространения вредоносных файлов зависят от OS. Для Windows используются специальные элементы (.cPL), а для macOS – стандартные файлы с иллюстрациями.
  • Имитация правительственных сообщений: Эта психологическая тактика усиливает эффект навыков социальной инженерии.

Технические детали атак

При активации замаскированных URL-адресов, которые имитируют ссылки на Google Drive, пользователи получают разные содержимое в зависимости от своей операционной системы. Для Windows это включает в себя вредоносные cpl-файлы, что подчеркивает стратегическое планирование Kimsuky:

  • После взаимодействия с вредоносными файлами запускается программа «updater.exe», которая имитирует законное ПО.
  • С помощью методов дополнительной загрузки библиотек DLL, программа может выполнять вредоносные действия.
  • Зараженные системы собирают информацию, генерируя файлы с идентификаторами ОС и сведениями об установке для будущего использования.

Эволюция тактики Kimsuky

Инфраструктура атак демонстрирует высокий уровень обфускации и использование зашифрованных команд. Группа часто прибегает к платформам, таким как GitHub, для доставки вредоносной полезной нагрузки, что свидетельствует о:

  • Изощренности Kimsuky в обходе традиционных мер безопасности.
  • Необходимости в системах обнаружения и реагирования на конечные точки (EDR) для мониторинга в режиме реального времени.

«Понимание и подготовка к таким попыткам социальной инженерии имеют решающее значение для предотвращения вредоносных действий», — подчеркивают эксперты по кибербезопасности. Учтите, что APT-атаки становятся все более связаны с реальными событиями, что делает их еще более опасными.

Заключение

Применение современных решений EDR позволяет выявлять и устранять угрозы, которые используют необычные схемы работы, повышая безопасность в условиях меняющейся тактики Kimsuky. Это подчеркивает важность готовности к киберугрозам в современном мире.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: