СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.02.2025
#ИБ#Инфра

Фишинговые атаки: угроза от группы Kimsuky усиливается

Фишинговые атаки: угроза от группы Kimsuky усиливается

Недавние исследования выявили новые фишинговые атаки, нацеленные на корпоративных пользователей. Злоумышленники используют мошеннические деловые электронные письма, чтобы обмануть получателей и получить доступ к конфиденциальной информации.

Методы атаки

В ходе атак злоумышленники применяли изменённые имена отправителей для создания ложного впечатления. К целевым электронным письмам были добавлены запросы, такие как:

  • «Отчет о периодической проверке»
  • «Запрос цены на ноутбук»

Каждое из этих вредоносных писем содержало сжатый файл в формате EGG, который включал PIF-файл, предназначенный для выполнения вредоносных действий после открытия. Наиболее заметным из них был PIF-файл с наименованием IconCache.tmp.pif, который был идентифицирован как вредоносная программа PebbleDash.

Опасности PebbleDash

PebbleDash представляет собой разновидность вредоносного ПО с бэкдором. После выполнения оно устанавливает соединение с сервером управления (C2), что позволяет злоумышленникам:

  • загружать и выгружать файлы
  • выполнять команды, контролируемые злоумышленниками

Некоторые улики указывают на то, что сервер C2 был взломан с использованием веб-оболочки, что служит подтверждением предшествующих атак.

Подозреваемые хакеры

Интересно, что PebbleDash в первую очередь ассоциируется с группой Lazarus, известной хакерской группой, подозреваемой в связях с Северной Кореей. Тем не менее, наблюдаются также атаки, приписываемые группе Kimsuky, которая, как считается, также действует из Северной Кореи.

Обнаруженная на сервере C2 веб-оболочка была связана с теми, которые ранее использовались группой Kimsuky, что подтверждает связь с этим хакерским объединением.

Рекомендации по безопасности

На данный момент решения для обеспечения безопасности, такие как Al Yak, распознают вредоносное ПО под наименованием Trojan.Agent.256512A. Эта связь с группой Kimsuky указывает на потенциальное изменение тактики или совместное использование вредоносных ресурсов северокорейскими хакерами.

В связи с усиливающимися угрозами корпоративным пользователям настоятельно рекомендуется:

  • сохранять бдительность в отношении возможных мошеннических электронных писем
  • проверять отправителей и содержимое писем, прежде чем открывать вложения
  • использовать современные системы безопасности и программное обеспечение для защиты от вредоносных атак

Эти меры могут помочь минимизировать риски и защитить корпоративные сети от возможных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: