СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ#Облака

Kimsuki: APT-группа КНДР применяет QR‑фишинг и компрометацию учётных записей

Kimsuki, APT‑группировка, связанная с Северной Кореей, действует по меньшей мере с 2012 года и, как полагают, связана с целями сбора разведывательной информации Главного бюро разведки. Ранее ориентированная на распространение вредоносного ПО, группа в последние годы демонстрирует стратегический поворот в сторону целевого шпионажа, фокусируясь на компрометации учетных записей и извлечении идентификационной информации, а не на полном контроле над конечными точками.

Кого атакуют и зачем

Kimsuki преимущественно нацелена на южнокорейские и американские организации: правительственные учреждения, научные круги и аналитические центры, работающие с вопросами, связанными с Корейским полуостровом. Главная цель — получение стратегической разведывательной информации, но в операциях также присутствуют элементы киберпреступности, в том числе кража денежных средств для финансирования деятельности группы.

Ключевые векторы атак и тактики

  • Целевой фишинг на основе QR‑кодов. Злоумышленники прикрепляют вредоносные QR‑коды к письмам и документам, перенаправляя жертв на поддельные страницы входа, часто оптимизированные для мобильных устройств — что позволяет обходить многие организационные меры безопасности.
  • Вредоносные Android‑приложения. Распространяются через фишинговые сайты; позволяют перехватывать учетные данные, в том числе обходить или перехватывать MFA.
  • Незаметные бэкдоры. Легковесные инструменты вроде BabyShark и AppleSeed дают возможности reconnaissance, keylogging, снятие скриншотов и скрытую эксфильтрацию данных.
  • Социальная инженерия и многоканальные коммуникации. Группа выстраивает доверительные отношения через несколько платформ, сочетая это с приемами living‑off‑the‑land (использование легитимных системных утилит).

«Стратегические операции Kimsuki отдают приоритет компрометации учетных записей, а не полному контролю над конечными точками.»

Технические средства и соответствие MITRE ATT&CK

Используя фреймворк MITRE ATT&CK, аналитики отмечают широкий набор тактик и техник, применяемых Kimsuki:

  • Initial Access: фишинг, использование общедоступных приложений и поддельных порталов для входа.
  • Execution: интерпретаторы командной строки и скрипты (PowerShell, JavaScript).
  • Credential Access: Man‑in‑the‑Middle атаки, регистрация нажатий клавиш (keylogging), перехват токенов MFA.
  • Command and Control: протоколы прикладного уровня, ПО для удаленного доступа; использование скомпрометированных легитимных серверов и облачных сервисов для устойчивости.
  • Defense Evasion: внедрение кода в процессы, обфускация и маскировка под легитимные компоненты.

Особенности текущей операционной модели

Kimsuki снижает зависимость от эксплойтов и делает ставку на малозаметные места присутствия: мобильные устройства и веб‑порталы для входа. Это позволяет группе дольше сохранять доступ в организациях и действовать незаметно. Приоритет — доступ к электронной почте и облачным идентификаторам, где содержатся конфиденциальные сообщения и аналитические данные.

Финансовые мотивы и гибридный характер атак

Наблюдается пересечение шпионажа и киберпреступной активности: кража денежных средств используется для частичного финансирования миссии по сбору стратегической разведки. Это делает группу еще более устойчивой и адаптивной к изменениям внешней обстановки.

Последствия для организаций и базовые рекомендации

Акцент Kimsuki на краже учетных данных и нацеливание на мобильные и облачные точки доступа требует пересмотра стандартных мер защиты. Общие рекомендации для целевых отраслей и организаций:

  • Усилить мониторинг аномалий связанных с активностью учетных записей и сессий в облаке.
  • Минимизировать уязвимости MFA: рассмотреть аппаратные ключи и методы, менее подверженные перехвату, чем SMS‑код.
  • Обучать персонал распознаванию QR‑фишинга и проверке легитимности страниц входа, особенно на мобильных устройствах.
  • Ограничить использование избыточных прав и контролировать применение легитимных утилит (living‑off‑the‑land).
  • Проверять целостность и происхождение мобильных приложений и фишинговых доменов, а также мониторить эксфильтрацию данных через нестандартные каналы.

Kimsuki демонстрирует, как современные APT могут сочетать традиционный государственный шпионаж с практиками киберпреступности и адаптироваться к стандартным средствам защиты. Организациям, работающим с темами Корейского полуострова или имеющим общие контакты с целевыми сферами, следует повысить внимание к рискам компрометации учетных записей и мобильной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: