Kimsuky Group’s Ongoing Threat Using RDP Wrapper

Kimsuky Group8217s Ongoing Threat Using RDP Wrapper

Источник: asec.ahnlab.com

В недавнем отчете аналитического центра безопасности AhnLab (ASEC) подробно рассматриваются методы, используемые группой хакеров Kimsuky, которая известна своими фишинговыми атаками и внедрением вредоносного ПО. Специалисты предупреждают о новых подходах злоумышленников, которые становятся все более изощренными и трудными для обнаружения.

Текущие методы атак

Согласно отчету, группа Kimsuky активно использует бэкдор PebbleDash в сочетании с пользовательской оболочкой протокола удаленного рабочего стола (RDP) для контроля над зараженными системами. Злоумышленники распространяют вредоносные файлы скачивания (*.LNK), замаскированные под офисные документы, такие как PDF или Word.

После открытия злоумышленнических файлов выполняются команды PowerShell или Mshta, которые загружают и активируют дальнейшую полезную нагрузку с удаленных серверов. Вредоносная экосистема группы включает в себя не только PebbleDash и RDP-оболочку, но и ряд других программ, таких как:

  • прокси-серверы;
  • кейлоггеры;
  • вредоносное ПО для кражи информации.

Используемые прокси-инструменты

Отчет также описывает применение трех различных прокси-инструментов:

  1. Первый инструмент создает мьютекс с именем «MYLPROJECT» и считывает файлы конфигурации из жестко заданных путей.
  2. Второй, связанный с «LPROXYMUTEX», функционирует аналогично первому, но не имеет дополнительных отличительных особенностей.
  3. Третий, названный revsocks, имеет открытый исходный код и разработан на языке Go.

Методы кейлоггинга и новые угрозы

Группа Kimsuky также применяет методы кейлоггинга, используя как сценарии PowerShell, так и исполняемые кейлоггеры. Обнаружены обновленные конфигурации для хранения нажатий клавиш, которые изменены для новых местоположений, таких как «C:ProgramdatajoeLog.txt».

Кроме того, был выявлен новый похититель информации под названием «forceCopy», который использует технологии обхода традиционных мер безопасности, используя библиотеку синтаксического анализа NTFS.

Тактические изменения и рекомендации

Наблюдается явная эволюция тактики Kimsuky: группа стремится минимизировать установку бэкдоров и предпочитает удаленное управление с помощью RDP-оболочки и прокси-инструментов. Эта стратегия подтверждает акцент на сохранении доступа при сокращении применяемых методов, которые могут быть обнаружены.

В заключении отчета AhnLab пользователям рекомендуется:

  • Проявлять осторожность при получении нежелательных электронных писем и вредоносных вложений;
  • Проверять подлинность отправителей;
  • Регулярно обновлять системы и браузеры для установки исправлений безопасности.

Развивающаяся тактика и инструменты группы Kimsuky подчеркивают постоянную угрозу, исходящую от изощренных киберпреступников, и необходимость повышения бдительности в сфере кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: