Kimsuky Group’s Ongoing Threat Using RDP Wrapper

Источник: asec.ahnlab.com
В недавнем отчете аналитического центра безопасности AhnLab (ASEC) подробно рассматриваются методы, используемые группой хакеров Kimsuky, которая известна своими фишинговыми атаками и внедрением вредоносного ПО. Специалисты предупреждают о новых подходах злоумышленников, которые становятся все более изощренными и трудными для обнаружения.
Текущие методы атак
Согласно отчету, группа Kimsuky активно использует бэкдор PebbleDash в сочетании с пользовательской оболочкой протокола удаленного рабочего стола (RDP) для контроля над зараженными системами. Злоумышленники распространяют вредоносные файлы скачивания (*.LNK), замаскированные под офисные документы, такие как PDF или Word.
После открытия злоумышленнических файлов выполняются команды PowerShell или Mshta, которые загружают и активируют дальнейшую полезную нагрузку с удаленных серверов. Вредоносная экосистема группы включает в себя не только PebbleDash и RDP-оболочку, но и ряд других программ, таких как:
- прокси-серверы;
- кейлоггеры;
- вредоносное ПО для кражи информации.
Используемые прокси-инструменты
Отчет также описывает применение трех различных прокси-инструментов:
- Первый инструмент создает мьютекс с именем «MYLPROJECT» и считывает файлы конфигурации из жестко заданных путей.
- Второй, связанный с «LPROXYMUTEX», функционирует аналогично первому, но не имеет дополнительных отличительных особенностей.
- Третий, названный revsocks, имеет открытый исходный код и разработан на языке Go.
Методы кейлоггинга и новые угрозы
Группа Kimsuky также применяет методы кейлоггинга, используя как сценарии PowerShell, так и исполняемые кейлоггеры. Обнаружены обновленные конфигурации для хранения нажатий клавиш, которые изменены для новых местоположений, таких как «C:ProgramdatajoeLog.txt».
Кроме того, был выявлен новый похититель информации под названием «forceCopy», который использует технологии обхода традиционных мер безопасности, используя библиотеку синтаксического анализа NTFS.
Тактические изменения и рекомендации
Наблюдается явная эволюция тактики Kimsuky: группа стремится минимизировать установку бэкдоров и предпочитает удаленное управление с помощью RDP-оболочки и прокси-инструментов. Эта стратегия подтверждает акцент на сохранении доступа при сокращении применяемых методов, которые могут быть обнаружены.
В заключении отчета AhnLab пользователям рекомендуется:
- Проявлять осторожность при получении нежелательных электронных писем и вредоносных вложений;
- Проверять подлинность отправителей;
- Регулярно обновлять системы и браузеры для установки исправлений безопасности.
Развивающаяся тактика и инструменты группы Kimsuky подчеркивают постоянную угрозу, исходящую от изощренных киберпреступников, и необходимость повышения бдительности в сфере кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



