Хакеры из Северной Кореи стараются украсть данные исследований по вакцине против COVID-19

Дата: 02.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры из Северной Кореи стараются украсть данные исследований по вакцине против COVID-19

ИБ-эксперты компании Cybereason Nocturnus объявили об обнаружении вредоносного ПО, которое используется для организации атак для кражи конфиденциальных данных, принадлежащих производителям вакцины против COVID-19.

Специалисты Cybereason Nocturnus отмечают, что им удалось отследить инфраструктуру кибератак, которые связаны с северокорейской группировкой Kimsuky с помощью вредоносного программного обеспечения AppleSeed и BabyShark, которое ей принадлежит. По информации экспертов, новые домены, которые были созданы в рамках вредоносной кампании, были зарегистрированы на тот же IP-адрес, отвечающий за атаки BabyShark.

По результатам проведенного исследования специалистами Cybereason Nocturnus был найден новый набор вредоносного ПО, который получил название KGH. Распространение вредоносного софта со шпионским функционалом происходит через файлы MS Word в фишинговых email-письмах.

Эксперты Cybereason Nocturnus отмечают, что на данный момент шпионский модуль Infostealer KGH не отслеживается и не регистрируется популярными антивирусными решениями. При активации в системе жертвы он начинает сбор информации из браузеров, WINSCP, Windows Credential Manager и почтовых клиентов.

Также специалисты нашли новый загрузчик CSPY, который «оснащен надежными методиками уклонения». После загрузки полезные данные удаляются и переименовываются, а основная полезная нагрузка вредоносного ПО маскируется под легитимную службу Windows и пользуется стандартным методом обхода UAC с применением задачи SilentCleanup, что необходимо для выполнения двоичного файла с повышенными привилегиями.

В компании Cybereason Nocturnus говорят о том, что северокорейские хакеры особенно нацелены на известных мировых производителей вакцины от COVID-19 и организации, которые занимаются соответствующими исследованиями. Также киберпреступники из Северной Кореи среди своих целей, судя по всему, имеют Совет Безопасности ООН, южнокорейские правительственные учреждения, исследовательские институты, аналитические центры, военных, журналистов.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *