СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.11.2025
#ИБ

KONNI APT: KakaoTalk, Stress Clear.msi и удалённая очистка Android

Кампания KONNI APT, связанная с северокорейскими злоумышленниками, известными также как Kimsuky или APT37, выявила новую, целенаправленную тактику атак: удалённое стирание данных на устройствах Android с использованием функциональности отслеживания активов Google Find Hub. Операция сопровождалась годом скрытной активности, в ходе которой злоумышленники распространяли вредоносное ПО под прикрытием психологических консультаций и правозащитной деятельности.

Краткая выжимка

  • Первичный вектор доступа — Targeted phishing, маскировавшийся под доверенные организации (включая Национальную налоговую службу).
  • Распространение вредоносного ПО велось через мессенджер KakaoTalk — заражённые сообщения содержали установочный пакет Stress Clear.msi.
  • Жертвами в первую очередь становились психологи, работающие с северокорейскими перебежчиками, что указывает на прицельное похищение конфиденциальной информации.
  • После компрометации настольных систем злоумышленники превращали их в ретрансляторы для дальнейшего распространения вредоносных файлов.
  • Ключевые компоненты кампании: Stress Clear.msi, автозапусковый скрипт IoKlTr.au3, RemcosRAT и другие модули удалённого доступа.
  • Зафиксирован доступ к логам аккаунтов Gmail, позволяющий злоумышленникам отслеживать последние сессии входа жертв.

Социальная инженерия и целевые группы

Атака опиралась на тщательно спланированную социальную инженерию: злоумышленники выдавали себя за консультантов-психологов и правозащитников из числа северокорейской диаспоры. Через KakaoTalk рассылались сообщения с якобы безобидными приложениями для снятия стресса. Такой подход повысил вероятность установки вредоносного MSI-файла именно у тех, кто имел доступ к чувствительной информации о перебежчиках.

Техническая реализация атаки

Техническая цепочка включает следующие элементы:

  • Stress Clear.msi — основной установочный пакет, доставляемый через вредоносные сообщения в KakaoTalk.
  • IoKlTr.au3 — AutoIt-скрипт, настроенный на периодическое выполнение планировщиком задач для сохранения устойчивого доступа.
  • RemcosRAT и другие RAT-модули — используются для удалённого управления и эксфильтрации данных.
  • Пакетные файлы, вызываемые MSI, запускают последующие команды для дальнейшей компрометации и развертывания инструментов.
  • Удалённая атака Android wipe реализована через функцию отслеживания активов Google Find Hub, что позволяет воздействовать на мобильные устройства постфактум.

«После взлома злоумышленники использовали эти устройства в качестве ретрансляторов для распространения дальнейших вредоносных файлов, эффективно превращая жертв первого этапа в компоненты своей инфраструктуры.»

Форензика и корреляция индикаторов

Цифрово-криминалистический анализ скомпрометированных систем выявил устойчивые шаблоны: дублирующиеся экземпляры вредоносных модулей, повторяющиеся механизмы автозапуска и пересекающиеся IOCs указывают на координированный, единный подход кампании KONNI APT. Это подтверждает высокую степень интеграции инструментов и тактик в рамках одной операции.

Рекомендации по защите

Учитывая сложность и целевой характер атак, организациям и специалистам по безопасности рекомендуется:

  • Внедрять и настраивать методы обнаружения, ориентированные на поведение (behavioral detection), для выявления необычных действий MSI-инсталляторов и AutoIt-скриптов.
  • Мониторить наличие подозрительных планировщиков задач и автозапусковых скриптов (включая файлы вида *.au3), а также контролировать изменения в реестре и файловой системе.
  • Отслеживать IOCs, связанные с Stress Clear.msi, IoKlTr.au3, RemcosRAT и смежными модулями.
  • Усилить защиту почтовых и мессенджер-каналов (особенно KakaoTalk) и обучать сотрудников распознавать Targeted phishing.
  • Контролировать сессии входа в аккаунты (например, Gmail) и применять многофакторную аутентификацию повсеместно.
  • Ограничить использование личных устройств для работы с чувствительной информацией и минимизировать права приложений на мобильных устройствах; проверить настройки Google Find Hub и доступа к устройствам.

Вывод

Кампания KONNI APT демонстрирует, как киберугрозы могут сочетать целенаправленную социальную инженерию и сложную эксплуатацию технических возможностей платформ для достижения политически мотивированных целей. Обнаруженные тактики — от Targeted phishing и доставки через KakaoTalk до использования AutoIt-скриптов и возможности Android wipe через Google Find Hub — подчёркивают необходимость комплексного подхода к защите, включающего поведенческий мониторинг, оперативную форензику и обучение персонала.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: