Украинские органы власти оказались под прицелом северокорейских цифровых разведчиков. Исследователи из компании Proofpoint зафиксировали новую волну атак, за которой стоит группировка Konni — она же TA406 или Opal Sleet. По данным экспертов, действия начались ещё в феврале 2025 года и продолжаются, охватывая широкий круг государственных адресатов.
Как выяснили аналитики, злоумышленники рассылают письма, выдавая себя за представителей фиктивных исследовательских центров. В содержании таких сообщений упоминаются резонансные события — от громких отставок в военном руководстве до обсуждений будущих выборов президента. Тексты составлены с расчётом на интерес получателя, а в качестве отправителей используются популярные почтовые сервисы вроде Gmail, Outlook и ProtonMail. Адресатам предлагают перейти по ссылке, замаскированной под аналитический отчёт.
После перехода пользователь попадает на сервис MEGA, где размещён архив с паролем и названием «Analytical Report.rar». Внутри скрыт CHM-файл — при открытии он запускает PowerShell-команду. Этот скрипт подгружает второй этап атаки — ещё один фрагмент кода, предназначенный для сбора данных и последующего закрепления в операционной системе.
По наблюдению специалистов из Proofpoint, в отдельных случаях используются HTML-вложения. Они содержат ZIP-архивы, маскирующиеся под документы в формате PDF, но в реальности запускающие ярлыки LNK. При активации такие ярлыки вызывают PowerShell или VBScript со встроенным шифрованием. Конечная цель — установка шпионского инструмента, способного обеспечить удалённый доступ. Исследователи предполагают, что речь идёт о специализированном бэкдоре, но извлечь его пока не удалось.
Кроме основного сценария заражения, отмечена и подготовительная активность. Атакующие имитировали оповещения от Microsoft, сообщая о подозрительной попытке входа в учётную запись. В письме содержалась ссылка на поддельную страницу jetmf[.]com, через которую собирались логины и пароли.
В компании Proofpoint подчёркивают, что действия группировки Konni свидетельствуют о возрастающем интересе КНДР к внутренней ситуации на Украине. Специалисты уверены, что цель — не только наблюдение за происходящим в госструктурах, но и выявление возможных угроз для северокорейского военного блока.
Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры маскируются под аналитиков и проникают в украинские госструктуры через фальшивые письма и скрипты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.