СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.04.2025
#ИБ#Инфра

Угрозы от Kimsuky: новые методы кибератак и фишинга

Угрозы от Kimsuky: новые методы кибератак и фишинга

Хакерская группа Kimsuky, действующая с 2012 года, продолжает свою активность, нацеливаясь на южнокорейские организации в различных секторах. Исследование, проведенное Центром анализа угроз Qi’Anxin, выявило новые образцы вредоносного ПО, подтверждающие угрожающую методологию этой группы.

Основные цели и методы Kimsuky

Kimsuky, состоящая из выходцев из Северной Кореи, фокусируется на краже конфиденциальной информации. Основные цели группы включают:

  • Оборонные учреждения
  • Образовательные организации
  • Энергетический сектор
  • Правительственные структуры
  • Медицинские учреждения
  • Аналитические центры

Методы, которые они используют, варьируются от социальной инженерии и скрытого фишинга до установки вредоносного ПО на платформы Windows и Android.

Недавние выявления вредоносного ПО

Центр Qi’Anxin проанализировал образцы вредоносного ПО, похожие на предыдущие действия Kimsuky. Один из них использовал цифровую подпись южнокорейского производителя программного обеспечения BlueMoonSoft для обмана жертв.

Среди ключевых функций этого бэкдора можно выделить:

  • Сбор данных о конфигурации системы и сети
  • Загрузка и выполнение дополнительной полезной нагрузки
  • Проверка имен хоста для прекращения операций при необходимости

Интересно, что в списке фильтров имени хоста была обнаружена запись «DANAM», которая может относиться к южнокорейской электронной и оборонной компании.

Текущие угрозы и меры предосторожности

Последняя версия вредоносного ПО Kimsuky обладает усовершенствованными функциями, включая:

  • Проверку запущенных сред
  • Обеспечение постоянства присутствия на зараженном устройстве
  • Интеграцию механизмов саморазрушения

Вредоносная программа взаимодействует с сервером C2 через различные типы запросов, что усложняет ее обнаружение. Установлено, что некоторые образцы, такие как sshdc.exe, могут выполнять произвольные команды, что представляет серьезную угрозу безопасности.

Выводы и рекомендации

Специалисты Qi’Anxin подчеркивают, что методы, используемые Kimsuky, продолжают развиваться, с применением сложных стратегий маскировки и методами атаки. В связи с этим пользователям рекомендуется:

  • Проявлять осторожность в отношении подозрительных ссылок и вложений
  • Регулярно обновлять свои системы и производить резервное копирование данных
  • Использовать платформы анализа угроз для незнакомых типов файлов

Эффективные меры предосторожности могут существенно снизить риск стать жертвой этой киберугрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: