СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.09.2025
#Dev#ИБ#ИИ

Kimsuky: генеративный ИИ и глубокие подделки в целевых атаках

Kimsuky: генеративный ИИ и глубокие подделки в целевых атаках

В новом отчете Genians Security Center (GSC) описана изощренная кампания кибергруппы Kimsuky, в которой злоумышленники применяют генеративный искусственный интеллект и технологии глубокой подделки для целевых атак на системы выдачи военных удостоверений в Южной Корее. По мнению исследователей, атаки демонстрируют явное усложнение тактик и повышенную интеграцию современных инструментов социального инжиниринга в сочетании с техникой обхода средств защиты.

«изощренная кампания группы Kimsuky, проводившей сложные целенаправленные атаки, характеризующаяся использованием генеративного искусственного интеллекта и технологии глубокой подделки в злонамеренных целях, в частности, нацеленная на южнокорейские военные идентификационные системы» — Genians Security Center (фрагмент отчета).

Как это работает: тактики и инструменты

Анализ GSC выделяет несколько ключевых техник, применяемых Kimsuky:

  • Целевой фишинг. Атаки строятся вокруг фальшивых уведомлений, маскирующихся под сообщения от официальных южнокорейских оборонных и портальных служб. Такие письма повышают доверие жертвы и побуждают открыть вложения или перейти по ссылке.
  • Deepfake и генеративные модели. По данным отчета, злоумышленники использовали генеративные модели, включая OpenAI ChatGPT, для создания поддельных изображений военных удостоверений. Это позволяет им подготовить правдоподобные материалы для социальной инженерии и операций по получению идентификационных данных.
  • Вредоносные вложения в HWP. Документы формата HWP применяются как носители вредоносного кода, что помогает обойти стандартные механизмы защиты электронной почты и процитированную осторожность пользователей.
  • Скрытые скрипты и упаковка. Для уклонения от антивирусов используются пакетные файлы, сценарии автозапуска и Python-скрипты, которые маскируют вредоносную логику под безобидные имена файлов и изменяют конфигурации, чтобы снизить вероятность детектирования.
  • Эвазионные техники. Многоступенчатые цепочки выполнения и изменение конфигураций позволяют вредоносу интегрироваться в систему незаметно, усложняя обнаружение стандартными сигнатурными методами.

Почему это опасно

Комбинация реалистичных поддельных удостоверений, таргетированного фишинга и методов обхода защиты создает повышенный риск компрометации систем выдачи идентификационных документов и последующего несанкционированного доступа к защищенным ресурсам. Особенно критичны такие атаки в контексте военной инфраструктуры, где подмена удостоверений может привести к эскалации угрозы безопасности.

Рекомендации по защите

Авторы отчета и эксперты по кибербезопасности рекомендуют сочетать технические и организационные меры:

  • Внедрение и настройка EDR. Независимо от уровня анти‑вирусной защиты, решения для обнаружения и реагирования на конечных точках (EDR) критичны для выявления сложных, многоэтапных сценариев атак.
  • Поведенческое обнаружение. Использовать методы, ориентированные на поведение процессов и сетевой активности, а не только сигнатурный анализ; обратить внимание на атипичные цепочки запуска, пакетные файлы и нестандартные Python-скрипты.
  • Фильтрация почты и обучение пользователей. Усилить фильтрацию входящей почты, блокировать подозрительные вложения (включая HWP) и проводить регулярные тренинги по распознаванию целевого фишинга и deepfake‑контента.
  • Контроль авторунов и скриптов. Запретить автозапуск из ненадежных источников, ограничить выполнение скриптов и применять политические ограничения по запуску бинарников из пользовательских каталогов.
  • Верификация удостоверений. Внедрить многофакторные и внеполосные (out‑of‑band) процедуры подтверждения при выдаче и обновлении военных идентификаций.
  • Обмен разведданными. Своевременно обмениваться индикаторами компрометации (IoC) и тактиками, приемами и процедурами (TTP) с профильными организациями и национальными CERT.

Атрибуция и значимость разведданных

GSC подчеркивает важность корректной атрибуции и корреляции данных при расследовании подобных инцидентов. Систематизация сценариев атак и накопление репозитория разведданных позволяют быстрее распознавать повторяющиеся TTP и повышают эффективность скоординированных мер реагирования.

Вывод

Описанная кампания демонстрирует, как современные киберпротивники комбинируют генеративный ИИ, deepfake‑инструменты и традиционные методы социальной инженерии для достижения стратегических целей. В отчете делается акцент на том, что исполнение вредоносной полезной нагрузки под видом легитимных документов — это не единичный инцидент, а часть эволюционирующих стратегий атакующих, требующих усиления как технических, так и организационных мер защиты.

«Выполнение вредоносной полезной нагрузки под видом законных документов продемонстрировало эволюционирующие стратегии, применяемые хакерскими группировками, и острую необходимость в усилении мер безопасности.»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: