Хакерская группа Kimsuky, действующая с 2012 года, продолжает свою активность, нацеливаясь на южнокорейские организации в различных секторах. Исследование, проведенное Центром анализа угроз Qi’Anxin, выявило новые образцы вредоносного ПО, подтверждающие угрожающую методологию этой группы.
Основные цели и методы Kimsuky
Kimsuky, состоящая из выходцев из Северной Кореи, фокусируется на краже конфиденциальной информации. Основные цели группы включают:
- Оборонные учреждения
- Образовательные организации
- Энергетический сектор
- Правительственные структуры
- Медицинские учреждения
- Аналитические центры
Методы, которые они используют, варьируются от социальной инженерии и скрытого фишинга до установки вредоносного ПО на платформы Windows и Android.
Недавние выявления вредоносного ПО
Центр Qi’Anxin проанализировал образцы вредоносного ПО, похожие на предыдущие действия Kimsuky. Один из них использовал цифровую подпись южнокорейского производителя программного обеспечения BlueMoonSoft для обмана жертв.
Среди ключевых функций этого бэкдора можно выделить:
- Сбор данных о конфигурации системы и сети
- Загрузка и выполнение дополнительной полезной нагрузки
- Проверка имен хоста для прекращения операций при необходимости
Интересно, что в списке фильтров имени хоста была обнаружена запись «DANAM», которая может относиться к южнокорейской электронной и оборонной компании.
Текущие угрозы и меры предосторожности
Последняя версия вредоносного ПО Kimsuky обладает усовершенствованными функциями, включая:
- Проверку запущенных сред
- Обеспечение постоянства присутствия на зараженном устройстве
- Интеграцию механизмов саморазрушения
Вредоносная программа взаимодействует с сервером C2 через различные типы запросов, что усложняет ее обнаружение. Установлено, что некоторые образцы, такие как sshdc.exe, могут выполнять произвольные команды, что представляет серьезную угрозу безопасности.
Выводы и рекомендации
Специалисты Qi’Anxin подчеркивают, что методы, используемые Kimsuky, продолжают развиваться, с применением сложных стратегий маскировки и методами атаки. В связи с этим пользователям рекомендуется:
- Проявлять осторожность в отношении подозрительных ссылок и вложений
- Регулярно обновлять свои системы и производить резервное копирование данных
- Использовать платформы анализа угроз для незнакомых типов файлов
Эффективные меры предосторожности могут существенно снизить риск стать жертвой этой киберугрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Угрозы от Kimsuky: новые методы кибератак и фишинга".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.