Kimsuky: JSE-атака под видом руководства по медобследованию
В конце октября 2025 года скоординированная кампания, приписываемая северокорейской APT‑группе Kimsuky, приметила и использовала уязвимость человеческого фактора — файл с расширением .jse, выданный за руководство по медицинскому обследованию. Цель злоумышленников — первоначальная доставка вредоносной полезной нагрузки и установление устойчивого канала управления.
Суть атаки
Атака опирается на простую, но эффективную комбинацию социальной инженерии и технических механизмов доставки вредоносного кода:
- Файл с обманным именем Руководство по проверке работоспособности.pdf.jse направлялся жертвам в расчёте на то, что пользователи попытаются открыть «PDF» и запустят содержимое.
- При выполнении файл запускает запутанный JavaScript через
WScript.exe, который обеспечивает загрузку и исполнение дальнейшей полезной нагрузки. - Заражённый хост устанавливает связь с C2‑сервером по адресу
load.samework.o-r.kr/index.php, выполняя попытки подключения каждые 60 секунд. - Периодические запросы служат для получения управляемых ответов, которые определяют дальнейшие действия вредоносного ПО и позволяют поддерживать закрепление в системе.
Индикатор компрометации:
Руководство по проверке работоспособности.pdf.jseC2:
load.samework.o-r.kr/index.php
Технические детали и поведение полезной нагрузки
Анализ выявил многоступенчатую архитектуру загрузчика и модульной полезной нагрузки:
- После установления связи с C2 сервер может возвращать зашифрованные бинарные данные.
- Начальный модуль применяет RC4 с 30‑байтовым ключом для расшифровки дополнительных PES (portable executable files).
- После успешной расшифровки распространяются и загружаются дополнительные библиотеки
DLL, одна из которых вызывает так называемую «функцию приветствия», реализующую дальнейшие вредоносные действия по распоряжению операторов. - В ходе расследования следователям не удалось подтвердить конкретные сценарии дальнейших действий, так как соединение с C2 установить не удалось.
Индикаторы компрометации (IoC)
- Имя файла:
Руководство по проверке работоспособности.pdf.jse - URL C2:
load.samework.o-r.kr/index.php
Почему это важно
Этот инцидент подчёркивает несколько опасных тенденций в деятельности Kimsuky и родственных группировок:
- Комбинация социальной инженерии и исполняемых скриптов (
.jse) остаётся эффективной — пользователи часто недооценивают риск нестандартных расширений. - Постоянные опросы C2 (каждую минуту) указывают на попытку обеспечить устойчивое управление и быструю доставку модулей.
- Использование RC4 с фиксированным 30‑байтовым ключом и модульной загрузки делает кампанию гибкой и трудной для детектирования на ранних стадиях.
Рекомендации по защите
Практические меры для снижения риска при подобных атаках:
- Относиться с подозрением к вложениям с двойными расширениями, особенно к файлам
.jseи другим исполняемым скриптам. - Отключить или строго ограничить использование
WScript.exeна рабочих станциях, где это возможно. - Блокировать и мониторить соединения к известным доменам и URL, включая
load.samework.o-r.kr, на уровне прокси/фаервола и SIEM. - Контролировать аномальные сетевые звонки с частотой примерно 60 секунд — это характерный признак beaconing.
- Использовать многоуровневую защиту: антивирус, EDR, sandbox‑анализ вложений и ограничение прав запускаемых процессов.
- Проводить обучение сотрудников по распознаванию фишинговых писем и вложений с вводящими в заблуждение именами файлов.
Вывод
Инцидент в конце октября 2025 года демонстрирует, что Kimsuky продолжает применять проверенные методы социальной инженерии в сочетании с технически сложными механизмами доставки и управления вредоносным ПО. Даже при отсутствии подтверждённого полного спектра действий вредоносного кода, зафиксированные механизмы — .jse‑загрузчик, регулярный beaconing к C2 и расшифровка PES с помощью RC4 — указывают на серьёзную угрозу целевым организациям. Повышенная бдительность и реализация перечисленных мер способны существенно снизить риск успешной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



