Недавняя утечка, приписываемая северокорейскому злоумышленнику, известному как «Ким», раскрыла важную информацию об оперативной тактике группировки Kimsuky (APT43). В основе кампании — целенаправленная кража учетных данных в южнокорейских и тайваньских сетях, а также использование гибридной модели инструментов и инфраструктуры, часто ассоциируемых с китайскими кибероперациями.
Ключевые находки
- Утечка включает истории командной строки, демонстрирующие активную среду разработки вредоносного ПО с использованием NASM (Netwide Assembler).
- Найден файл 136001_env.key, который предполагает кражу конфиденциальных материалов PKI правительства Южной Кореи и прямую компрометацию государственных криптографических ключей.
- Фишинг остаётся основной тактикой: обнаружен обширный набор поддельных доменов, имитирующих корейские службы идентификации и официальные правительственные сайты.
- Документация по разработке руткита Linux — vmmisc.ko — указывает на методы на уровне ядра для обеспечения необнаруженного доступа и закрепления в системах.
- Актор использовал OCR и другие средства распознавания текста для анализа корейской документации по инфраструктуре безопасности, что помогло лучше понять архитектуру PKI Южной Кореи.
- Фиксируются попытки доступа по SSH методом грубой силы с IP-адресов, связанных с известной вредоносной инфраструктурой.
- На Тайване злоумышленник получил доступ к нескольким доменам, связанным с государственным и частным секторами.
Инструментарий и методы разработки вредоносного ПО
Содержимое утечки показывает практический, ручной подход к созданию вредоносного ПО. Акцент на использовании NASM (Netwide Assembler) и ручной компиляции шелл-кода свидетельствует о высокой вовлечённости оператора в процесс разработки.
Для уклонения от систем обнаружения используются методы вроде разрешения вызовов хэшированного API, что затрудняет детектирование по сигнатурам. В документации также присутствуют элементы, указывающие на намеренную интеграцию техник повышения привилегий и сохранения доступа.
Руткит для Linux: vmmisc.ko
Включённые артефакты описывают руткит, идентифицированный как vmmisc.ko. Этот модуль использует методы на уровне ядра для установления необнаруженного доступа и долговременного закрепления. Такая способность указывает на готовность оператора работать с эксплуатацией ядра и повышением привилегий через модель, основанную на доверии.
Фишинг и перехват учетных данных
Фишинговые операции содержат множество поддельных доменов, разработанных так, чтобы выглядеть как официальные сервисы. Используются сложные механики атаки «Злоумышленник посередине», направленные на захват учетных данных пользователей путем перенаправлений и подмены страниц аутентификации.
- Домены стилизованы под корейские государственные и идентификационные сервисы.
- Конфигурации реализованы с учётом доверия потенциальных жертв, что повышает успешность фишинговых кампаний.
Разведка и атаки на инфраструктуру доверия
Отчёт указывает на тщательную разведку целей: злоумышленники использовали технологии распознавания текста для обработки корейских документов по безопасности, что дало им преимущество при анализе архитектуры PKI. Наличие файла 136001_env.key косвенно подтверждает возможность прямой компрометации правительственных ключей и потенциальную подделку удостоверений в государственных системах.
Одновременно фиксируются попытки входа по SSH методом грубой силы с адресов, ассоциированных с известной вредоносной инфраструктурой, что указывает на целенаправленное тестирование и обход внешних защит.
Географический фокус и приоритеты целей
Утечка ясно показывает, что основными целями оператора были Южная Корея и Тайвань. Компрометация нескольких тайваньских доменов, связанных с государственным и частным секторами, усиливает стратегический характер кампании, направленной на подрыв цифровой инфраструктуры доверия в регионе.
Вопросы атрибуции
Атрибуция этой активности остаётся сложной. Хотя присутствуют убедительные признаки связи с северокорейскими операциями, зависимость от китайской инфраструктуры и методов вносит двусмысленность относительно происхождения. Такое смешение инструментов и инфраструктур затрудняет однозначное определение оператора.
Выводы
Утечка «Кима» предоставляет редкий взгляд на комбинированные тактики злоумышленника: от ручной разработки вредоносного ПО и использования руткита на уровне ядра до целенаправленного фишинга и детальной разведки PKI. На фоне выявленных компрометаций и свидетельств о возможной краже государственных ключей, инцидент подчеркивает высокую угрозу для цифровой инфраструктуры доверия в регионе и необходимость усиления мер защиты PKI, мониторинга фишинговых доменов и жёсткой политики по управлению доступом по SSH.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Утечка Кима: Kimsuky (APT43), компрометация PKI и фишинг".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.