Атака Kimsuky: подводный фишинг и вредоносный XenoRAT через GitHub

Изощренная кибератака северокорейской группы Kimsuky с использованием GitHub и XenoRAT

Эксперты по кибербезопасности выявили сложную кибератаку, организованную группой Kimsuky, известной связями с Северной Кореей. Атака использовала нестандартные методы подводного фишинга (spear phishing) с применением инфраструктуры GitHub, что позволило злоумышленникам масштабно внедрить вредоносное ПО и получить доступ к конфиденциальным данным.

Суть атаки: применение PowerShell и использование GitHub

Для реализации атаки злоумышленники применили файлы быстрого доступа с командами PowerShell. При их выполнении запускается цепочка действий, в результате которых на устройствах жертв разворачивается вредоносное ПО. Вредоносный скрипт исполняет функции перехвата информации и регистрирует задачи, которые периодически — каждые 30 минут — запускают полезную нагрузку для сбора данных.

• Вредоносные файлы содержали PowerShell-скрипт, перехватывающий информацию.
• Злоумышленники использовали токены личного доступа GitHub (PAT), жестко закодированные в коде, для доступа к частным репозиториям.
• Лог-файлы подтвердили, что атакующие сосредоточились на конкретных людях из Южной Кореи, детализировав IP-адреса и методы проникновения.

Маскировка и использование вредоносных приманок

Для обмана жертв злоумышленники распространяли файлы-приманки, которые выдавали себя за легитимные документы, например, уведомления о погашении долгов от имени юридической фирмы. Такая социально-инженерная тактика позволяла заманивать пользователей и провоцировать выполнение вредоносных скриптов.

Технический анализ вредоносной программы XenoRAT

Одним из ключевых компонентов атаки стал запутанный вариант вредоносного ПО XenoRAT, указывающий на применение продвинутых методов уклонения от обнаружения. Среди основных технических характеристик:

• Разработка вредоносного ПО велась на языке C# с использованием общих GUID и методов шифрования.
• Наличие нескольких дополнительных образцов, подтверждённых анализом VirusTotal, что свидетельствует о едином происхождении вредоноса.
• Основной сервер C&C (Command and Control) напрямую связан с известными операциями Kimsuky.
• Запланированные задачи обеспечивали постоянный сбор и эксфильтрацию данных.

Несмотря на невозможность получить доступ к исходным вредоносным файлам, удалось установить их поведение: создание и выполнение вредоносных компонентов во временном каталоге, а также поддержание логирования на заражённых устройствах.

Эволюция и постоянство деятельности Kimsuky

Анализ IP-адресов, участвовавших в атаке, показал совпадения с предыдущими инцидентами, связанными с кампанией MoonPeak, что говорит о непрерывной и продуманной деятельности группы. Kimsuky активно использует платформы GitHub и Dropbox для распространения вредоносного ПО, что свидетельствует о высокой адаптивности и эволюции их тактик.

Данный случай демонстрирует, насколько современные киберугрозы становятся изощрённее, требуя от специалистов постоянного усовершенствования методов обнаружения и защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.