Хакеры, связанные с Северной Кореей, нападают на организации в Соединенных Штатах, используя методы уклонения, которые используют необычный формат файла, сообщил в среду стартап-разведка по компромиссам в сфере бизнеса из США.
Деятельность группы кибершпионажа, известной как Kimsuky и Smoke Screen, была раскрыта в 2013 году после того, как она начала целенаправленные атаки на объекты в Южной Корее и Китае.
В отчете, опубликованном в апреле южнокорейской компанией ESTsecurity, описываются атаки, предпринятые Kimsuky на организации в Южной Корее и США.
Prevailion наблюдала за кампанией, запущенной этим летом субъектом угрозы против организаций в США, с последними атаками, начатыми около 20 августа, на основе документов, использованных злоумышленниками в качестве приманки.
В рамках этой кампании, которую фирма по кибербезопасности назвала «Осенняя апертура», хакеры разослали электронные письма со специально созданными документами Word, которые целевой пользователь мог открыть. Один из файлов содержал записи человека, который выступил с докладом на саммите по ядерному сдерживанию в начале этого года в Вирджинии. Другим документом был отчет американского филиала университета, в котором обсуждалась подводная лодка с баллистическими ракетами в Северной Корее. Последний документ, описанный в докладе Prevailion, по-видимому, был составлен министерством финансов США и содержал лицензию на санкции против Северной Кореи.
На документ Саммита по ядерному сдерживанию также ссылается ESTsecurity в своем апрельском докладе. Prevailion считает, что файл, скорее всего, использовался в качестве приманки в атаках на людей, которые присутствовали на конференции, или тех, кто мог бы интересоваться темами, освещаемыми на мероприятии.
В некоторых случаях вариант этого документа доставлялся по ссылке Bitly, указывающей на файл. Анализ одного URL показал, что ссылка была нажата более 400 раз.
При открытии каждый из документов Word инструктировал целевого пользователя включать макросы перед отображением контента. Это широко используемый метод, который позволяет злоумышленникам устанавливать вредоносное ПО на устройство жертвы.
Троянские документы, доставленные Kimsuky, инициировали выполнение цепочки действий, предназначенных для анализа скомпрометированной системы, в том числе на наличие решений безопасности от Malwarebytes, Microsoft, McAfee, Sophos и Trend Micro.
Одна интересная техника уклонения, используемая группой угроз, включает использование формата файла Kodak FlashPix (FPX). Хакеры использовали этот формат файла, по крайней мере, с июля, чтобы скрыть новые вредоносные функции, предназначенные для получения версии приложения, используемого для открытия документа с наживкой.
«Согласно тестированию VirusTotal, формат файла FPX имеет значительно более низкую скорость распознавания, снижая начальную частоту обнаружения до 8/57 AV-продуктов. Принимая во внимание, что стандартный формат файла, VBA, имел начальную скорость обнаружения 23/57 », - объяснил Prevailion в своем блоге . «Вероятно, это было сделано, поскольку AV-продукты имеют множество подписей, предназначенных для проверки файлов VBA; в то время как файлы FPX не получили такого же уровня контроля. В результате файлы FPX с меньшей вероятностью будут впоследствии помечены как вредоносные ».