Kimsuky использует CHM-файлы для скрытой кибершпионажной атаки

Kimsuky использует многоэтапную схему доставки вредоносного ПО через скомпрометированный CHM-файл, маскируя атаку под легитимный документ, связанный с политикой Северной Кореи. Такой подход позволяет злоумышленникам сочетать социальную инженерию с технически выстроенной цепочкой выполнения, закрепления и сбора данных.

Как работает схема атаки

Первоначальный образец, идентифицированный по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, запускает последовательность вредоносных действий, направленных на закрепление в системе, разведку и выборочную доставку полезной нагрузки.

Файл CHM используется как приманка для корейскоязычных целей. При запуске он инициирует скрытое выполнение PowerShell-скрипта, который декодирует встроенное содержимое в формате Base64 и создает файл Link.ini. Затем этот файл обрабатывается wscript.exe как VBScript.

Связь с C2 и сбор данных

Начальный модуль устанавливает соединение с сервером управления и контроля (command-and-control, C2) по адресу acnms.dmdoc.dynv6.net. После этого он выполняет профилирование хоста и собирает сведения в ходе системной разведки.

В ходе работы вредоносное ПО получает и эксфильтрует следующие данные:

  • конфигурация системы;
  • список запущенных процессов;
  • структура каталогов.

Собранная информация направляется на другой конечный узел — finalservice.php.

Механизмы закрепления

Для сохранения присутствия в системе ВПО создает запланированную задачу, связанную с Edge Updater. Эта задача периодически запускает вторичный загрузчик через выполнение другого VBScript, сохраненного с вводящим в заблуждение расширением .ini.

Дополнительно используются изменения в реестре, которые помогают скрыть присутствие вредоносного кода и обеспечивают его непрерывную работу.

Выборочная доставка полезной нагрузки

Архитектура вредоносной кампании предусматривает selective payload delivery: ответы от C2-сервера могут меняться в зависимости от географического положения или состояния системы. Такой подход позволяет злоумышленникам адаптировать атаку под конкретную жертву и потенциально снижать вероятность обнаружения.

Контекст и выводы

Наблюдаемые действия Kimsuky соответствуют ранее зафиксированным методикам распространения CHM-файлов, которые уже связывались с кампаниями по сбору информации с скомпрометированных систем.

Анализ показывает, что группа сочетает социальную инженерию, правдоподобные приманки и надежные технические механизмы выполнения и закрепления. Главная цель остается прежней — сбор разведданных с целевых систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: