В новом отчете Genians Security Center (GSC) описана изощренная кампания кибергруппы Kimsuky, в которой злоумышленники применяют генеративный искусственный интеллект и технологии глубокой подделки для целевых атак на системы выдачи военных удостоверений в Южной Корее. По мнению исследователей, атаки демонстрируют явное усложнение тактик и повышенную интеграцию современных инструментов социального инжиниринга в сочетании с техникой обхода средств защиты.
«изощренная кампания группы Kimsuky, проводившей сложные целенаправленные атаки, характеризующаяся использованием генеративного искусственного интеллекта и технологии глубокой подделки в злонамеренных целях, в частности, нацеленная на южнокорейские военные идентификационные системы» — Genians Security Center (фрагмент отчета).
Как это работает: тактики и инструменты
Анализ GSC выделяет несколько ключевых техник, применяемых Kimsuky:
- Целевой фишинг. Атаки строятся вокруг фальшивых уведомлений, маскирующихся под сообщения от официальных южнокорейских оборонных и портальных служб. Такие письма повышают доверие жертвы и побуждают открыть вложения или перейти по ссылке.
- Deepfake и генеративные модели. По данным отчета, злоумышленники использовали генеративные модели, включая OpenAI ChatGPT, для создания поддельных изображений военных удостоверений. Это позволяет им подготовить правдоподобные материалы для социальной инженерии и операций по получению идентификационных данных.
- Вредоносные вложения в HWP. Документы формата HWP применяются как носители вредоносного кода, что помогает обойти стандартные механизмы защиты электронной почты и процитированную осторожность пользователей.
- Скрытые скрипты и упаковка. Для уклонения от антивирусов используются пакетные файлы, сценарии автозапуска и Python-скрипты, которые маскируют вредоносную логику под безобидные имена файлов и изменяют конфигурации, чтобы снизить вероятность детектирования.
- Эвазионные техники. Многоступенчатые цепочки выполнения и изменение конфигураций позволяют вредоносу интегрироваться в систему незаметно, усложняя обнаружение стандартными сигнатурными методами.
Почему это опасно
Комбинация реалистичных поддельных удостоверений, таргетированного фишинга и методов обхода защиты создает повышенный риск компрометации систем выдачи идентификационных документов и последующего несанкционированного доступа к защищенным ресурсам. Особенно критичны такие атаки в контексте военной инфраструктуры, где подмена удостоверений может привести к эскалации угрозы безопасности.
Рекомендации по защите
Авторы отчета и эксперты по кибербезопасности рекомендуют сочетать технические и организационные меры:
- Внедрение и настройка EDR. Независимо от уровня анти‑вирусной защиты, решения для обнаружения и реагирования на конечных точках (EDR) критичны для выявления сложных, многоэтапных сценариев атак.
- Поведенческое обнаружение. Использовать методы, ориентированные на поведение процессов и сетевой активности, а не только сигнатурный анализ; обратить внимание на атипичные цепочки запуска, пакетные файлы и нестандартные Python-скрипты.
- Фильтрация почты и обучение пользователей. Усилить фильтрацию входящей почты, блокировать подозрительные вложения (включая HWP) и проводить регулярные тренинги по распознаванию целевого фишинга и deepfake‑контента.
- Контроль авторунов и скриптов. Запретить автозапуск из ненадежных источников, ограничить выполнение скриптов и применять политические ограничения по запуску бинарников из пользовательских каталогов.
- Верификация удостоверений. Внедрить многофакторные и внеполосные (out‑of‑band) процедуры подтверждения при выдаче и обновлении военных идентификаций.
- Обмен разведданными. Своевременно обмениваться индикаторами компрометации (IoC) и тактиками, приемами и процедурами (TTP) с профильными организациями и национальными CERT.
Атрибуция и значимость разведданных
GSC подчеркивает важность корректной атрибуции и корреляции данных при расследовании подобных инцидентов. Систематизация сценариев атак и накопление репозитория разведданных позволяют быстрее распознавать повторяющиеся TTP и повышают эффективность скоординированных мер реагирования.
Вывод
Описанная кампания демонстрирует, как современные киберпротивники комбинируют генеративный ИИ, deepfake‑инструменты и традиционные методы социальной инженерии для достижения стратегических целей. В отчете делается акцент на том, что исполнение вредоносной полезной нагрузки под видом легитимных документов — это не единичный инцидент, а часть эволюционирующих стратегий атакующих, требующих усиления как технических, так и организационных мер защиты.
«Выполнение вредоносной полезной нагрузки под видом законных документов продемонстрировало эволюционирующие стратегии, применяемые хакерскими группировками, и острую необходимость в усилении мер безопасности.»
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Kimsuky: генеративный ИИ и глубокие подделки в целевых атаках".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.