СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.05.2025
#ИБ

Группа Kimsuky использовала поддельные сертификаты для маскировки вредоносного ПО

Группа Kimsuky использовала поддельные сертификаты для маскировки вредоносного ПО

Источник: asec.ahnlab.com

Хакерская группа Kimsuky начала использовать подложные цифровые сертификаты Nexaweb для маскировки вредоносного ПО

Аналитический центр безопасности AhnLab (ASEC) опубликовал материалы расследования, в которых выявлены новые техники хакерской группы Kimsuky group. Эксперты зафиксировали использование вредоносного ПО, подписанного цифровым сертификатом от Nexaweb Inc. — что свидетельствует о злоупотреблении законными сертификатами для обхода систем безопасности.

Сущность угрозы: социальная инженерия и цифровые подписи

При запуске вредоносная программа демонстрирует PDF-документ с предложениями по приему на работу. Этот файл служит приманкой — классическим приемом социальной инженерии, заставляя пользователя запустить вредоносную полезную нагрузку.

Интересно, что в предыдущих файлах, подписанных сертификатом Nexaweb с серийным номером 28ce4d33e7994c2be95816eea5773ed1, вредоносных компонентов не обнаружено. Это указывает на очень избирательный подход хакеров — для новых атак был создан отдельный сертификат, который использовался исключительно для двух вредоносных файлов.

Вопросы легитимности сертификата и реакция Nexaweb

  • Оригинальный сертификат от Nexaweb с вышеуказанным серийным номером не содержал вредоносного ПО;
  • Новый сертификат применялся лишь для подписи опасных файлов, что ставит под сомнение его легитимность;
  • ASEC направила запрос Nexaweb с целью подтверждения подлинности сертификата, но ответа пока не получила.

Отсутствие официального комментария со стороны Nexaweb усложняет оценку уровня угрозы и повышает риски для пользователей.

Значение инцидента для индустрии кибербезопасности

Эксперты подчеркивают, что этот случай демонстрирует эволюцию тактик группы Kimsuky, направленную на повышение доверия к вредоносному ПО за счет использования легитимных цифровых подписей. Такая стратегия значительно затрудняет обнаружение угроз традиционными методами, что требует усиления бдительности со стороны специалистов.

“Использование законных цифровых сертификатов — новый уровень сложности для систем защиты, ведь доверие к подписанному коду значительно выше, что позволяет злоумышленникам эффективнее внедрять вредоносные компоненты,” — комментируют аналитики ASEC.

Данный инцидент служит напоминанием о необходимости регулярного обновления и адаптации средств защиты, а также внимательного анализа всех цифровых подписей, особенно в критически важных секторах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: