APT-C-55 (Kimsuky): новая волна кибершпионажа с использованием маскировки под Bandizip
Группа APT-C-55, более известная как Kimsuky, — северокорейский хакерский коллектив с доказанным опытом проведения кибератак на южнокорейские правительственные учреждения, аналитические центры и СМИ. С момента первого выявления Kimsuky специалистами Kaspersky в 2013 году, деятельность группы значительно расширилась, охватив также цели в США, России и Европе. Основной целью атак остаются сбор разведданных и кибершпионаж.
Несмотря на внимание со стороны исследователей в области кибербезопасности и неоднократное разоблачение тактик группы, Kimsuky постоянно совершенствует свои методы. Их последняя атака, выявленная в Южной Корее, демонстрирует продолжение использования сложных техник маскировки и современных средств обхода защитных систем.
Маскировка под легитимное ПО: вредоносный установочный пакет Bandizip
Наиболее заметной особенностью недавней кампании стала атака с применением вредоносного установочного пакета, замаскированного под популярное архивное приложение Bandizip. При этом:
- Пользователь устанавливает кажущееся законным приложение;
- В фоновом режиме запускается многоступенчатая серия вредоносных скриптов;
- В результате запускается троянская программа HappyDoor с оболочкой VMProtect для сокрытия кода;
- Используется regsvr32 для регистрации вредоносной библиотеки DLL ut_happy(x64).dll, обеспечивающей удалённое управление;
- Бэкдор запускается через несколько этапов — операции install, init и run.
Эта схема позволяет злоумышленникам без видимых следов извлекать и передавать критически важную системную информацию, а также оказывать полный контроль над заражённым устройством — например, инициировать автоматическое завершение работы или проводить скрытую регистрацию DLL.
Технические особенности и методы защиты вредоносного кода
Отличительной чертой вредоносного ПО Kimsuky является интенсивная обфускация кода. Для защиты основного функционала они применяют VMProtect — средство, создающее сложную виртуальную машину для затруднения реверс-инжиниринга и анализа вредоносного ПО.
Подобные техники:
- значительно усложняют работу исследователей;
- способствуют обходу антивирусных и поведенческих систем обнаружения;
- демонстрируют высокий уровень технической подготовки группы.
Кроме того, структуры доменных имён для C2-серверов, использованных в этой атаке, совпадают с теми, что были характерны для предыдущих кампаний Kimsuky. Это однозначно связывает текущую деятельность с APT-C-55.
Заключение: эволюция угрозы и важность информационной безопасности
Недавняя атака Kimsuky — очередное подтверждение того, что APT-группы продолжают эволюционировать, комбинируя социальную инженерию и сложные технические решения для достижения своих целей.
В условиях таких угроз особенно важны:
- тщательное информирование пользователей о рисках запуска непроверенных приложений;
- постоянное обновление средств защиты и мониторинг подозрительной активности;
- внедрение многоуровневых стратегий безопасности в организациях.
Группа Kimsuky остаётся одной из активных и опасных APT-угроз с глобальным охватом, а значит — ответственность за защиту информации должна лежать как на специалистах по кибербезопасности, так и на конечных пользователях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT-C-55 (Kimsuky): современные тактики сложного кибершпионажа".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.