APT-C-55 (Kimsuky): современные тактики сложного кибершпионажа

APT-C-55 (Kimsuky): новая волна кибершпионажа с использованием маскировки под Bandizip

Группа APT-C-55, более известная как Kimsuky, — северокорейский хакерский коллектив с доказанным опытом проведения кибератак на южнокорейские правительственные учреждения, аналитические центры и СМИ. С момента первого выявления Kimsuky специалистами Kaspersky в 2013 году, деятельность группы значительно расширилась, охватив также цели в США, России и Европе. Основной целью атак остаются сбор разведданных и кибершпионаж.

Несмотря на внимание со стороны исследователей в области кибербезопасности и неоднократное разоблачение тактик группы, Kimsuky постоянно совершенствует свои методы. Их последняя атака, выявленная в Южной Корее, демонстрирует продолжение использования сложных техник маскировки и современных средств обхода защитных систем.

Маскировка под легитимное ПО: вредоносный установочный пакет Bandizip

Наиболее заметной особенностью недавней кампании стала атака с применением вредоносного установочного пакета, замаскированного под популярное архивное приложение Bandizip. При этом:

• Пользователь устанавливает кажущееся законным приложение;
• В фоновом режиме запускается многоступенчатая серия вредоносных скриптов;
• В результате запускается троянская программа HappyDoor с оболочкой VMProtect для сокрытия кода;
• Используется regsvr32 для регистрации вредоносной библиотеки DLL ut_happy(x64).dll, обеспечивающей удалённое управление;
• Бэкдор запускается через несколько этапов — операции install, init и run.

Эта схема позволяет злоумышленникам без видимых следов извлекать и передавать критически важную системную информацию, а также оказывать полный контроль над заражённым устройством — например, инициировать автоматическое завершение работы или проводить скрытую регистрацию DLL.

Технические особенности и методы защиты вредоносного кода

Отличительной чертой вредоносного ПО Kimsuky является интенсивная обфускация кода. Для защиты основного функционала они применяют VMProtect — средство, создающее сложную виртуальную машину для затруднения реверс-инжиниринга и анализа вредоносного ПО.

Подобные техники:

• значительно усложняют работу исследователей;
• способствуют обходу антивирусных и поведенческих систем обнаружения;
• демонстрируют высокий уровень технической подготовки группы.

Кроме того, структуры доменных имён для C2-серверов, использованных в этой атаке, совпадают с теми, что были характерны для предыдущих кампаний Kimsuky. Это однозначно связывает текущую деятельность с APT-C-55.

Заключение: эволюция угрозы и важность информационной безопасности

Недавняя атака Kimsuky — очередное подтверждение того, что APT-группы продолжают эволюционировать, комбинируя социальную инженерию и сложные технические решения для достижения своих целей.

В условиях таких угроз особенно важны:

• тщательное информирование пользователей о рисках запуска непроверенных приложений;
• постоянное обновление средств защиты и мониторинг подозрительной активности;
• внедрение многоуровневых стратегий безопасности в организациях.

Группа Kimsuky остаётся одной из активных и опасных APT-угроз с глобальным охватом, а значит — ответственность за защиту информации должна лежать как на специалистах по кибербезопасности, так и на конечных пользователях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.