СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:25
#ИБ

Kimsuky эволюционировала: PebbleDash, Rust и Cloudflare Tunnels

Kimsuky, также идентифицируемая как APT43, продолжает оставаться одной из наиболее активных и адаптивных кибершпионских групп в регионе. Согласно отчету, злоумышленники значительно усложнили свой инструментарий и все чаще комбинируют собственные разработки с легитимными сервисами и общедоступными инструментами, чтобы обеспечить устойчивый доступ к целевым системам и затруднить обнаружение.

Эволюция инструментов и подходов

Аналитики отмечают, что в последние кампании Kimsuky активно использует вредоносное ПО на базе платформы PebbleDash. Эта платформа ранее ассоциировалась с Lazarus Group, однако, как подчеркивается в отчете, Kimsuky применяет ее как минимум с 2021 года.

Среди новых элементов инфраструктуры и методов выделяются:

  • VSCode Tunneling;
  • Cloudflare Quick Tunnels;
  • DWAgent;
  • использование языка программирования Rust для разработки вредоносных компонентов.

Такой набор инструментов указывает на стремление группы не только скрывать собственную активность, но и повышать устойчивость операций в целевой среде.

Первичный доступ через spear-phishing

Для первоначального проникновения Kimsuky по-прежнему делает ставку на spear-phishing письма с вредоносными вложениями, замаскированными под документы. В качестве загрузчиков используются файлы в форматах JSE, PIF, SCR и EXE.

Именно этот этап остается ключевым для запуска последующих стадий атаки и доставки основной вредоносной нагрузки на целевую систему.

Два основных кластера вредоносного ПО

Инструментарий Kimsuky, по данным отчета, строится вокруг двух крупных кластеров вредоносного ПО: PebbleDash и AppleSeed.

PebbleDash и его варианты

PebbleDash используется для создания backdoor на целевых системах. Наибольший интерес группы традиционно сосредоточен на:

  • секторе обороны;
  • военных структурах;
  • правительственных организациях;
  • преимущественно объектах в Южной Корее.

При этом отчет фиксирует расширение географии атак: помимо Южной Кореи, были отмечены кампании против целей в Brazil и Germany.

Одним из заметных вариантов семейства стал HelloDoor — первый вариант PebbleDash, написанный на Rust. Он обеспечивает закрепление в системе за счет изменения записей системного реестра. Связь с сервером управления и контроля C2 осуществляется по протоколу HTTP с применением шифрования, включая RC4. Для сокрытия инфраструктуры также используется временное туннелирование через Cloudflare.

Другой вариант, httpMalice, функционирует по протоколам HTTP/HTTPS. Он способен выполнять команды и собирать подробную информацию о системе, а для сохранения постоянного доступа использует службы Windows или изменения в реестре. В отчете подчеркивается, что его функциональность хорошо сочетается с базовыми возможностями PebbleDash.

Отдельно упоминается MemLoad — инструмент, который разворачивается через другие droppers и маскирует установку бэкдора httpTroy. Кроме того, он проводит разведку целевых систем и пытается избежать обнаружения с помощью проверок на виртуальные машины, то есть anti-VM.

Еще одна важная деталь: Kimsuky использует легитимные инструменты, включая Visual Studio Code, для организации постоянного удаленного доступа. Эксплуатация функций удаленного туннелирования позволяет обходить традиционные механизмы обнаружения и повышает скрытность операций.

AppleSeed и эксфильтрация данных

Кластер AppleSeed описывается как фреймворк для exfiltration данных, который часто применяется против правительственных систем. В недавних разработках акцент сместился на сбор конфиденциальной информации, включая документы и нажатия клавиш.

Примечательно, что HappyDoor рассматривается как продвинутый вариант AppleSeed. Это подтверждает, что группа продолжает развивать уже существующие семейства вредоносного ПО, адаптируя их под новые задачи кибершпионажа.

Инфраструктура и маскировка операций

Хотя основная концентрация атак по-прежнему приходится на Южную Корею, Kimsuky использует распределенную и тщательно скрытую инфраструктуру. В нее входят многочисленные домены, зарегистрированные через бесплатный хостинг-сервис в Южной Корее, а также взломанные веб-сайты, которые применяются для маскировки операций C2.

В отчете отмечается, что такая инфраструктурная модель затрудняет атрибуцию, усложняет блокировку каналов связи и повышает живучесть кампаний.

Вывод

Эволюция тактик Kimsuky демонстрирует зрелый и гибкий подход к кибершпионажу. Группа сочетает кастомные вредоносные компоненты, легитимные сервисы и методы сокрытия инфраструктуры, чтобы сохранять доступ к целевым системам и контролировать их в течение длительного времени.

По оценке аналитиков, приоритетами злоумышленников остаются оборонный сектор и государственные организации, что указывает на устойчивую стратегическую направленность кампаний и высокую значимость операций для их целей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: