СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.03.2025
#Dev#ИБ

KoSpy: Новая угроза кибербезопасности от APT37

KoSpy: Новая угроза кибербезопасности от APT37

Недавно исследователи безопасности выявили программу-шпион KoSpy, которая приписывается северокорейской организации APT37. Эта угроза, впервые обнаруженная в марте 2022 года, продолжает активно распространяться, маскируясь под служебные приложения. Основной фокус KoSpy направлен на корейских и англоговорящих пользователей.

Методы распространения и маскировка

KoSpy использует сторонние магазины приложений, включая Google Play и Apkpure, для своей дистрибуции. Она под disguise of:

  • «Файловый менеджер»
  • «Утилита обновления программного обеспечения»
  • «Kakao Security»

Эти поддельные утилиты призваны заманить пользователей в установку шпионского ПО. Несмотря на безобидный внешний вид, KoSpy имеет простой интерфейс, который перенаправляет пользователей на внутренние настройки телефона или выдает поддельные запросы на получение разрешений.

Структура и функциональность

Работа KoSpy зависит от получения конфигурации из Firebase Firestore, что позволяет управлять ее функциональностью и направлять сообщения C2. Вредоносная программа собирает различные конфиденциальные данные, включая:

  • текстовые сообщения
  • история звонков
  • местоположение
  • файлы
  • аудиозаписи
  • скриншоты

Сложная инфраструктура управления C2 KoSpy предоставляет хакерам возможность включать или отключать функции шпионского ПО и менять адреса C2 в ответ на активности обнаружения.

Предотвращение раскрытия

После активации KoSpy проводит проверку, чтобы убедиться, что устройство не является эмулятором и что жестко запрограммированная дата активации истекла. Это необходимо для предотвращения преждевременного раскрытия злонамеренных намерений программы.

Связь с кибератаками Северной Кореи

Исследование, проведенное Lookout Threat Lab, указывает на связь KoSpy с предыдущими кибератаками Северной Кореи, связанными с APT37 и APT43 (Kimsuky). Хотя аномалии в сетевом трафике затрудняют точную идентификацию, внедрение данного шпионского ПО ясно указывает на их методологии работы.

Анализ домена C2 выявил многочисленные связи с потенциально вредоносными действиями, причем некоторые домены указывают на IP-адреса, известные своей связью с другими северокорейскими хакерскими группами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: