Недавно было установлено, что группа APT, известная как Kimsuky или Black Banshee, проводит две отдельные киберкампании, нацеленные на государственные учреждения Южной Кореи. В этих атаках применяется тактика обмана для доставки вредоносных документов, замаскированных под законные сообщения правительства Южной Кореи.
Методы атак
Начальная стадия этих атак включает в себя:
- Фишинговые электронные письма;
- Вложения в файлы LNK, предназначенные для удаления запутанных VBA-скриптов.
Анализ показал, что эти скрипты предназначены для развертывания дополнительных вредоносных файлов, таких как PDF- и ZIP-архивы, содержащие четыре компонента:
- Два файла журнала;
- Сценарий VBA;
- Сценарий PowerShell.
Тематика и цели кампаний
В первой кампании Kimsuky использовала тематику, связанную с налоговой информацией, в то время как во второй кампании был выбран новый политический документ, касающийся положений о сексуальных преступлениях, предназначенный для распространения в различных местных административных учреждениях.
Стратегия обхода и технологии
Файлы LNK, использованные в обеих кампаниях, способствовали дальнейшему заражению вредоносными программами. В ходе анализа было обнаружено, что:
- Вложения LNK подключались к серверу управления (C2) для загрузки дополнительной полезной информации, включая вредоносные скрипты;
- При расшифровке загруженного VBScript аналитики смогли обнаружить структуру команд, подготовившую почву для выполнения сценария PowerShell.
Этот сценарий проверяет выполнение в среде виртуальных машин и, в случае обнаружения, удаляет все связанные файлы, чтобы предотвратить обнаружение и выполнение.
Функции вредоносного ПО
Анализ скрипта PowerShell 1.ps1 выявил сложные операции вредоносного ПО, включая:
- Утечку данных;
- Поддержание связи с хакером;
- Попытки получения конфиденциальной информации из нескольких браузеров, включая Edge, Firefox, Chrome и Naver Whale.
Кроме того, вредоносное ПО использует тактические приемы, такие как прекращение работы браузера для доступа к файлам cookie, учетным данным для входа в систему и кэшированным данным. Оно также выполняет расшифровку зашифрованных ключей для извлечения дополнительной конфиденциальной информации. Более того, одну из функций активирует кейлоггинг, повышая общую эффективность сбора данных об активности пользователей.
Заключение
Настойчивый и многогранный подход Kimsuky, использующий взаимосвязанные компоненты в последовательности атак, отличает эти кампании от более простых вредоносных программ для кражи данных. Это свидетельствует о целенаправленных усилиях по разведке и сбору разведданных, подчеркивая как изощренность методов атаки, так и постоянную потребность в эффективных мерах кибербезопасности для обнаружения и устранения подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Изощренные кибератаки Kimsuky на Южную Корею".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.