Новые методы уклонения бэкдора Endoor от кибергруппы Kimsuky

Новые Образцы Бэкдора Endoor от Kimsuky: Усиление Тактик Уклонения

Центр анализа угроз Qi’anxin выявил новые варианты бэкдора Endoor, разработанного группировкой Kimsuky. Несмотря на сохранение базовой функциональности, вредоносное ПО получило обновлённые механизмы скрытности и уклонения от обнаружения, что повышает его эффективность в кибершпионаже и атаках на критически важные инфраструктуры.

Тактики маскировки и взаимодействия с C&C-сервером

Новая версия Endoor имитирует открытый исходный код, распространяемый на GitHub, используя строку local.github.com для сбивания с толку специалистов по анализу кода. Такое маскирование вводит в заблуждение и затрудняет обнаружение вредоносной активности.

Важной особенностью является нетипичный порт для связи с командным и управляющим сервером (C&C) — в данном случае используется порт 53. Обычно трафик C&C проводится через распространённые порты 80 или 443, но Kimsuky применяет этот нестандартный метод, чтобы обойти существующие механизмы мониторинга и фильтрации сети.

Целевые аудитории атак и методы доставки

Группа Kimsuky известна под псевдонимами Mystery Baby и Black Banshee. Они преимущественно нацелены на южнокорейские предприятия в следующих секторах:

• Оборонный комплекс
• Образование
• Энергетика
• Правительственная инфраструктура
• Здравоохранение

Основная цель атак — кража конфиденциальной информации, осуществляемая через разнообразные методы доставки:

• Социальная инженерия
• Harpoon и puddle-атаки по электронной почте
• Вредоносное ПО для систем на базе Windows и Android

Технические детали вредоносного ПО

Endoor написан на языке программирования Go и распространяется в двух форматах файлов — DLL и EXE. Особенности реализации включают:

• DLL запускается через export-функцию, которая вызывает main-функцию.
• Генерация уникального идентификатора (UID) для зараженного устройства на основе пользовательских и системных данных.
• Форматирование URL-адреса C&C с включением специфического адреса.
• Две основные функции — приём команд и отправка результатов, организованные через структурированные ответы сервера.
• В EXE-версии применяется шелл-код, расшифровывающий дополнительную полезную нагрузку методом исключения.
• Поддержка параметров командной строки: при отсутствии успешного выполнения бэкдор самоуничтожается.

Особое внимание заслуживают параметры запуска:

• dkgei — репликация файла под именем svchost.exe в пользовательском каталоге и установка запланированной задачи.
• dkeig — прямое взаимодействие с сервером C&C.

Анализ изменений и перспективы развития

Хотя новая версия Endoor демонстрирует минимальные изменения в функциональности по сравнению с предыдущими итерациями, заметны незначительные корректировки в обработке данных и механизмам самоудаления. Это указывает на продолжающееся совершенствование инструментов группы Kimsuky.

Недавние доменные имена, например июнь.drydate.p-e.kr, связаны с дополнительными IP-адресами, что свидетельствует о расширении инфраструктуры и стремлении скрыть свою деятельность.

Рекомендации для пользователей

Специалисты настоятельно советуют проявлять повышенную бдительность в отношении попыток фишинга и избегать открывания сомнительных вложений или загрузки программного обеспечения из непроверенных источников.

Кроме того, рекомендуется внедрять современные решения для обеспечения безопасности, включая:

• Многофакторную аутентификацию
• Регулярное обновление программного обеспечения
• Мониторинг сетевого трафика на нестандартных портах
• Обучение сотрудников принципам информационной безопасности

В условиях эволюции угроз со стороны таких группировок, как Kimsuky, эти меры станут важным барьером на пути кибершпионажу и утечкам данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.