СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#ИБ#Инфра

Эволюция Kimsuky: новые тактики кибершпионажа из Северной Кореи

Эволюция Kimsuky: новые тактики кибершпионажа из Северной Кореи

Кимсуки, также известный как APT-Q-2, представляет собой высокоразвинутое злоумышленное объединение, которому приписывают атаки на Южную Корею с 2012 года. Секторные атаки затрагивают оборону, образование, здравоохранение и правительство, что свидетельствует о целенаправленности и методичности действий группы.

Тактики и методы атак Kimsuky

Группа Kimsuky известна своей нацеленностью на кражу секретной информации и применяет разнообразные методы атак, включая:

  • Социальную инженерию
  • Скрытый фишинг
  • Puddle-атаки

Недавно был обнаружен новый образец вредоносного ПО, обладающий схожими характеристиками с предыдущими атаками, что подчеркивает эволюцию тактики группы.

Вредоносное ПО и его функциональность

Это вредоносное ПО использует методы социальной инженерии для доставки бэкдора, который маскируется под законное программное обеспечение, подписанное BlueMoonSoft. Бэкдор выполняет следующие функции:

  • Сбор системной и сетевой информации
  • Загрузка полезной нагрузки
  • Выполнение вредоносных действий

Особенностью данного бэкдора является наличие проверки во время выполнения по внутреннему целевому списку. Если имя хоста зараженного устройства отсутствует в этом списке, вредоносная программа самоуничтожается, что демонстрирует целенаправленный характер операций Kimsuky.

Анализ образцов бэкдора

Были проанализированы два основных примера бэкдора — ssh_config.dat и IconCache.mdf. Оба образца используют схожие режимы связи C2, но отличаются по сложности.

Заметное обновление в новой версии включает в себя:

  • Дополнительные проверки среды
  • Механизмы сохранения
  • Функции самоудаления

Эти дополнения минимизируют риски обнаружения и улучшают скрытность операций. Образцы участвуют в скрытых взаимодействиях C2, используя POST-запросы с динамически генерируемыми идентификаторами жертв для отправки собранных данных обратно на сервер C2.

Тактика социальной инженерии

Сервер C2 для работы с бэкдором использует динамические доменные имена, которые ранее были связаны с фишинговыми кампаниями. Это указывает на то, что Kimsuky сосредоточен на тактике социальной инженерии, потенциально привлекая жертв темами, связанными с работой и подбором персонала.

Заключение

Оперативная тактика Kimsuky сочетает в себе изощренность вредоносного ПО, детальный выбор целей и осторожный подход к выполнению, делая упор на скрытность и точность в своих усилиях по кибершпионажу. Эта развивающаяся угроза создает серьезные проблемы для организаций в регионе, на который ориентирован Kimsuky.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: