ИБ-эксперты компании Cybereason Nocturnus объявили об обнаружении вредоносного ПО, которое используется для организации атак для кражи конфиденциальных данных, принадлежащих производителям вакцины против COVID-19.
Специалисты Cybereason Nocturnus отмечают, что им удалось отследить инфраструктуру кибератак, которые связаны с северокорейской группировкой Kimsuky с помощью вредоносного программного обеспечения AppleSeed и BabyShark, которое ей принадлежит. По информации экспертов, новые домены, которые были созданы в рамках вредоносной кампании, были зарегистрированы на тот же IP-адрес, отвечающий за атаки BabyShark.
По результатам проведенного исследования специалистами Cybereason Nocturnus был найден новый набор вредоносного ПО, который получил название KGH. Распространение вредоносного софта со шпионским функционалом происходит через файлы MS Word в фишинговых email-письмах.
Эксперты Cybereason Nocturnus отмечают, что на данный момент шпионский модуль Infostealer KGH не отслеживается и не регистрируется популярными антивирусными решениями. При активации в системе жертвы он начинает сбор информации из браузеров, WINSCP, Windows Credential Manager и почтовых клиентов.
Также специалисты нашли новый загрузчик CSPY, который «оснащен надежными методиками уклонения». После загрузки полезные данные удаляются и переименовываются, а основная полезная нагрузка вредоносного ПО маскируется под легитимную службу Windows и пользуется стандартным методом обхода UAC с применением задачи SilentCleanup, что необходимо для выполнения двоичного файла с повышенными привилегиями.
В компании Cybereason Nocturnus говорят о том, что северокорейские хакеры особенно нацелены на известных мировых производителей вакцины от COVID-19 и организации, которые занимаются соответствующими исследованиями. Также киберпреступники из Северной Кореи среди своих целей, судя по всему, имеют Совет Безопасности ООН, южнокорейские правительственные учреждения, исследовательские институты, аналитические центры, военных, журналистов.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ