СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Северокорейские группы Lazarus и Kimsuky: постоянные методы кражи учётных данных

Недавний анализ активностей северокорейских APT-групп, в частности Lazarus и Kimsuky, выявил цепочку тщательно спланированных кампаний, сочетающих «оперативные» схемы и продвинутые инструменты. Исследователи отмечают высокую активность этих государственных акторов: их действия варьируются от шпионажа до кражи денежных средств и опираются на устойчивый набор техник, что облегчает как проведение атак, так и их последующее отслеживание.

Краткие выводы

  • Группы используют стандартный набор утилит для сбора учетных данных и вредоносного ПО — эти инструменты регулярно повторяются в разных кампаниях.
  • Злоумышленники эксплуатируют открытые каталоги (open directories) и развертывают FRP-тоннели, которые работают на одинаковых портах на разных VPS — признак общей инфраструктуры.
  • Повторное использование сертификатов и одних и тех же credential-stealing наборов связывает разрозненные операции, позволяя коррелировать события.
  • Конкретные кампании, например фишинговая операция Lazarus, маскированная под процесс подачи заявок в NVIDIA, использовали инструменты MailPassView и WebBrowserPassView для кражи учетных данных.
  • Анализ с использованием IOC Hunter выявил сложные связи между инфраструктурой групп и множеством связанных доменов.

Механика атак: что именно делают злоумышленники

Расследование показывает, что, несмотря на варьирующиеся приманки и полезные нагрузки, атакующие демонстрируют повторяющееся поведение на уровне инфраструктуры и инструментов. В числе характерных приемов:

  • Размещение эксплойтов и вредоносных загрузчиков в открытых каталогах — это упрощает развертывание и замену компонентов.
  • Использование FRP-тоннелей для обратного доступа: одинаковые порты на разных VPS указывают на централизованную или стандартизованную конфигурацию, что делает возможным выявление пула серверов, связанных с группой.
  • Применение готовых инструментов для извлечения сохраненных паролей из почтовых клиентов и браузеров (MailPassView, WebBrowserPassView), часто в составе специальных комплектов для кражи учетных данных.
  • Повторное использование сертификатов и других артефактов, позволяющее связывать на первый взгляд разрозненные кампании по цифровым следам.

Примеры кампаний и диагностика по цифровым следам

В числе проанализированных операций особо выделяется кампания Lazarus, где злоумышленники притворялись кандидатом на вакансию в NVIDIA. Маскировка использовалась для социальной инженерии и распространения файла, целью которого была экстракция сохраненных учетных данных. Инструменты типа MailPassView и WebBrowserPassView упоминались как стандартный арсенал в таких сценариях.

Дальнейший поиск и сопоставление индикаторов компрометации с помощью IOC Hunter позволил выявить цепочки связанных доменов и хостов. Эти связи, включая повторяющееся использование портов FRP и одинаковых сертификатов, образуют «пальцевый след» — он существенно упрощает работу аналитиков по атрибуции и блокировке инфраструктуры.

Почему это важно для защитников

«Стабильное поведение позволяет эффективно отслеживать операции, связанные с КНДР, помогая в оборонительных стратегиях, даже если полезная нагрузка для конкретной кампании может измениться.»

Практические следствия для команд по кибербезопасности:

  • Мониторинг открытых каталогов и контроль integrity внешне доступных репозиториев ускоряют обнаружение вредоносного контента.
  • Анализ сетевых шаблонов — одинаковые порты FRP на различных VPS — может стать индикатором централизованной инфраструктуры атакующей стороны.
  • Отслеживание использования утилит для извлечения паролей (MailPassView, WebBrowserPassView) помогает быстро выявлять кампании по краже учетных данных.
  • Корреляция по сертификатам и доменам дает возможность связывать разрозненные инциденты и строить более полную картину угрозы.

Рекомендации

  • Ввести мониторинг и блокировку известных утилит для сбора учетных данных и сигнатур их использования.
  • Отслеживать аномалии в использовании VPS и повторяющиеся портовые конфигурации FRP; добавлять такие хосты в список подозрительных для глубокой проверки.
  • Проверять и отзывать сомнительные сертификаты, а также коррелировать их с доменами и инцидентами.
  • Обучать сотрудников распознавать фишинговые приманки, в том числе вакансии и рекрутинговые сообщения от неидентифицированных отправителей.
  • Использовать комбинацию IOC-сканирования (например, с помощью IOC Hunter) и поведенческого анализа для уменьшения числа ложноотрицательных срабатываний.

Последовательность и предсказуемость в поведении Lazarus и Kimsuky дают защитникам преимущество: несмотря на вариативность вредоносных payload’ов и приманок, инфраструктурные и инструментальные маркеры остаются стабильными и позволяют выстраивать эффективные стратегии обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: