Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Стратегия Kimsuky: сложные APT-атаки через Facebook и Telegram

3 мин
В начале 2025 года стало известно о новой активизации кибершпионской группы Kimsuky, финансируемой государством и связанной с Северной Кореей. В период с марта по апрель 2025 года злоумышленники запустили целенаправленную кампанию типа APT, нацеленную на лиц и организации, вовлечённые в деятельность, связанную с Северной Корей. Для установления контактов с целевыми жертвами группа использовала скоординированный мультиканальный подход: Под прикрытием тематики волонтерской деятельности северокорейских перебежчиков пользователи постепенно убеждались открыть вредоносные документы, маскирующиеся под легитимные файлы. Ключевым элементом атаки стал вредоносный скрипт с расширением .JSE. Этот JScript-файл, исполняемый с помощью Microsoft Windows Script Host, при запуске одновременно формирует ложный документ и создаёт вредоносную DLL-библиотеку. Защищенная с помощью VMProtect DLL выполняет основные вредоносные функции: Кампания под названием AppleSeed, ранее связанная с Kimsuky, ориентирована
Оглавление

Государственная хакерская группа Kimsuky разворачивает сложную многоэтапную кампанию APT

В начале 2025 года стало известно о новой активизации кибершпионской группы Kimsuky, финансируемой государством и связанной с Северной Кореей. В период с марта по апрель 2025 года злоумышленники запустили целенаправленную кампанию типа APT, нацеленную на лиц и организации, вовлечённые в деятельность, связанную с Северной Корей.

Трёхэтапная стратегия проникновения

Для установления контактов с целевыми жертвами группа использовала скоординированный мультиканальный подход:

  • Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) — злоумышленники создавали фиктивные аккаунты, выдавая себя за благотворителей и исследователей;
  • Электронная почта — рассылка вредоносных вложений в защищенных архивных файлах EGG с уникальным корейским сжатием для обхода систем защиты;
  • Telegram — для поддержания коммуникаций на поздних этапах атаки.

Под прикрытием тематики волонтерской деятельности северокорейских перебежчиков пользователи постепенно убеждались открыть вредоносные документы, маскирующиеся под легитимные файлы.

Особенности вредоносных файлов и техники обхода обнаружения

  • Вредоносные вложения представляли собой защищённые паролем архивы формата EGG, что позволяло злоумышленникам обходить системы безопасности, основанные на сигнатурах.
  • Для распаковки таких архивов требовались специальные инструменты, что исключало возможность открытия вредоносного кода на мобильных устройствах — вредоносное ПО было ориентировано исключительно на платформу Windows.
  • Для маскировки атак использовалась техника _»скрытого фишинга»_, при которой пользователям предлагали выполнять загрузку вложений под видом рабочих документов, связанных с благотворительностью.

Механизмы вредоносных операций

Ключевым элементом атаки стал вредоносный скрипт с расширением .JSE. Этот JScript-файл, исполняемый с помощью Microsoft Windows Script Host, при запуске одновременно формирует ложный документ и создаёт вредоносную DLL-библиотеку.

Защищенная с помощью VMProtect DLL выполняет основные вредоносные функции:

  • Автоматическая загрузка при старте Windows посредством изменений в реестре;
  • Взаимодействие с сервером управления (C2) с передачей структурированных HTTP-запросов;
  • Выполнение команд и передача украденных данных в режиме реального времени.

Целевые отрасли и акцент кампании «AppleSeed»

Кампания под названием AppleSeed, ранее связанная с Kimsuky, ориентирована на объекты трех ключевых секторов:

  • Военно-оборонная сфера;
  • Вооружённые силы;
  • Производители вакцин.

Такой выбор жертв подчёркивает стратегическую значимость киберопераций для сбора разведывательных данных и влияния на критически важные направления.

Реакция индустрии и важность передовых технологий защиты

Компания Genians ведёт активный мониторинг и выявление подобных угроз, используя технологии EDR и машинное обучение. Специалисты подчеркивают высокую степень риска, который несут такие продолжительные и скоординированные кампании APT.

Тактика Kimsuky демонстрирует искусное сочетание социальной инженерии, технического изощрения вредоносного ПО и продуманного мультиплатформенного подхода, что требует от организаций внедрения передовых систем обнаружения и реагирования на угрозы.

Заключение

Пример деятельности хакерской группы Kimsuky ясно показывает, насколько серьёзной и многофакторной может быть современная киберугроза, связывающая в себе умение манипулировать жертвами и использование сложных технических решений для обхода защиты. В условиях постоянного эволюционирующего ландшафта кибербезопасности важны постоянные инвестиции в инновационные методы борьбы с угрозами и повышение осведомлённости пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Стратегия Kimsuky: сложные APT-атаки через Facebook и Telegram".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются