Kimsuky использует CHM-файлы для скрытой кибершпионажной атаки
Kimsuky использует многоэтапную схему доставки вредоносного ПО через скомпрометированный CHM-файл, маскируя атаку под легитимный документ, связанный с политикой Северной Кореи. Такой подход позволяет злоумышленникам сочетать социальную инженерию с технически выстроенной цепочкой выполнения, закрепления и сбора данных.
Как работает схема атаки
Первоначальный образец, идентифицированный по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, запускает последовательность вредоносных действий, направленных на закрепление в системе, разведку и выборочную доставку полезной нагрузки.
Файл CHM используется как приманка для корейскоязычных целей. При запуске он инициирует скрытое выполнение PowerShell-скрипта, который декодирует встроенное содержимое в формате Base64 и создает файл Link.ini. Затем этот файл обрабатывается wscript.exe как VBScript.
Связь с C2 и сбор данных
Начальный модуль устанавливает соединение с сервером управления и контроля (command-and-control, C2) по адресу acnms.dmdoc.dynv6.net. После этого он выполняет профилирование хоста и собирает сведения в ходе системной разведки.
В ходе работы вредоносное ПО получает и эксфильтрует следующие данные:
- конфигурация системы;
- список запущенных процессов;
- структура каталогов.
Собранная информация направляется на другой конечный узел — finalservice.php.
Механизмы закрепления
Для сохранения присутствия в системе ВПО создает запланированную задачу, связанную с Edge Updater. Эта задача периодически запускает вторичный загрузчик через выполнение другого VBScript, сохраненного с вводящим в заблуждение расширением .ini.
Дополнительно используются изменения в реестре, которые помогают скрыть присутствие вредоносного кода и обеспечивают его непрерывную работу.
Выборочная доставка полезной нагрузки
Архитектура вредоносной кампании предусматривает selective payload delivery: ответы от C2-сервера могут меняться в зависимости от географического положения или состояния системы. Такой подход позволяет злоумышленникам адаптировать атаку под конкретную жертву и потенциально снижать вероятность обнаружения.
Контекст и выводы
Наблюдаемые действия Kimsuky соответствуют ранее зафиксированным методикам распространения CHM-файлов, которые уже связывались с кампаниями по сбору информации с скомпрометированных систем.
Анализ показывает, что группа сочетает социальную инженерию, правдоподобные приманки и надежные технические механизмы выполнения и закрепления. Главная цель остается прежней — сбор разведданных с целевых систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



