Эксперты по кибербезопасности из Securonix сообщили о выявлении новой, тщательно продуманной кампании кибератак с использованием вредоносного ПО PowerShell и VBScript для заражения систем Windows и сбора конфиденциальной информации. Об этом накануне рассказало издание The Hacker News.
Аналитики Securonix отмечают, что кампания DEEP#GOSU с высокой долей вероятности связана с деятельностью известной северокорейской хакерской APT-группировки Kimsuky, которая, как предполагают профильные западные структуры, спонсируется правительством КНДР.
Исследователи безопасности Ден Юзвик, Тим Пек и Олег Колесников рассказали, что вредоносное программное обеспечение, которое используется в рамках кампании DEEP#GOSU, представляет собой сложную, многоэтапную угрозу, предназначенную для скрытой работы в системах Windows, особенно с точки зрения мониторинга сети.
Возможности этого вредоносного ПО включают в себя ведение журнала клавиатуры, мониторинг буфера обмена, динамическое выполнение полезных данных и кражу данных, а также постоянное использование программного обеспечения RAT для полного удаленного доступа, запланированных задач, а также самозапускаемых сценариев PowerShell с использованием заданий.
Интересным моментом процедуры заражения является то, что хакеры используют легальные сервисы, такие как Dropbox или Google Docs, для управления и контроля (C2), что позволяет злоумышленникам незаметно смешиваться с обычным сетевым трафиком. Кроме того, использование таких облачных сервисов для размещения полезных нагрузок позволяет обновлять функциональность вредоносного ПО или доставлять дополнительные модули.
В качестве отправной точки заражения пользовательского устройства рассматривается фишинговое письмо с вредоносным вложением в виде ZIP-архива с мошенническим файлом ярлыка («IMG_20240214_0001.pdf.lnk»), который маскируется под файл PDF. Файл .LNK поставляется со сценарием PowerShell, а также с ложным PDF-документом, причём первый также обращается к управляемой актёром инфраструктуре Dropbox для получения и выполнения другого сценария PowerShell («ps.bin»).
Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры атакуют пользователей Windows в рамках кибероперации DEEP#GOSU".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.