Государственная хакерская группа Group123 ведёт активную кибершпионскую деятельность как минимум с 2012 года. Изначально её атаки были сфокусированы на стратегических секторах Южной Кореи — обороне, аэрокосмической индустрии и ядерных технологиях. Однако начиная с 2017 года операционная география группы значительно расширилась, охватив Японию, Вьетнам, Ближний Восток и другие регионы.
Эволюция тактик и расширение деятельности
Современные наблюдения показывают, что Group123 непрерывно совершенствует свои методы, используя реализованные недостатки безопасности для глобальных кибершпионских кампаний. Особое внимание уделяется адаптивности и внедрению сложных технических приёмов для повышения устойчивости атак.
Одной из ключевых тенденций является использование программ-вымогателей, в частности версии Maui. Их внедрение позволяет группе получать доход, необходимый для поддержания и развития шпионской активности, эффективно сочетая операции, спонсируемые государством, с элементами киберпреступности.
Методы проникновения и распространения
Для первоначального доступа к системам жертв Group123 применяет комплекс разнообразных техник:
- Фишинг — рассылка целевых писем с вредоносными вложениями;
- Эксплуатация уязвимостей в популярном программном обеспечении, включая Hangul и Microsoft Office;
- Использование известных уязвимостей, связанных с Log4j и другими устаревшими CVE, для установки веб-оболочек;
- Компрометация легитимных веб-сайтов для распространения вредоносного контента;
- Злоупотребление уязвимостями браузеров и плагинов при взаимодействии пользователей с взломанными ресурсами.
Вредоносные инструменты и постоянство доступа
Для выполнения вредоносного кода злоумышленники используют как пользовательские вредоносные программы (ROKRAT, PoohMilk, Freenki), так и более стандартные вредоносные средства. Специализированные скрипты и вызовы Windows API обеспечивают высокую эффективность атак.
Установка бэкдоров гарантирует длительный и скрытый доступ к жертвенным системам. Для обеспечения постоянства в системе Group123 регулярно вносит изменения в конфигурацию — добавляет записи в реестр и автозагрузочные папки.
Расширенные возможности и коммуникации
Функционал группы включает умение сбрасывать учётные данные и взламывать пароли, что дает возможность проникать в более защищённые области сети. Коммуникации с Command and Control (C2) серверами обычно зашифрованы через HTTPS, позволяя замаскировать вредоносный трафик под обычный.
Чтобы избежать обнаружения, Group123 разделяет полезную нагрузку на несколько этапов. Их инфраструктура базируется на скомпрометированных легитимных веб-серверах и облачных платформах, что дополнительно усложняет блокировку деятельности.
Продвинутые техники и внутренний анализ
Группа владеет сложными техниками:
- Дополнительная загрузка и удаление DLL;
- Подмена стека вызовов для обхода средств защиты;
- Проведение внутренней разведки сетей для картирования инфраструктуры и выявления ключевых объектов.
В арсенале хакеров — активности по внедрению вредоносных программ для очистки дисков и проведение атак, направленных на получение финансовой выгоды.
Заключение
Разнообразная и постоянно развивающаяся методология Group123 свидетельствует о высоком уровне технической квалификации и значительном уровне угроз, исходящих от этой северокорейской APT-сети. Их способность комбинировать государственно-спонсируемый шпионаж с киберпреступностью представляет серьёзный вызов для информационной безопасности в мире.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Group123: эволюция северокорейского кибершпионажа и вымогательства".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.