Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Kimsuky: JSE-атака под видом руководства по медобследованию

3 мин
В конце октября 2025 года скоординированная кампания, приписываемая северокорейской APT‑группе Kimsuky, приметила и использовала уязвимость человеческого фактора — файл с расширением .jse, выданный за руководство по медицинскому обследованию. Цель злоумышленников — первоначальная доставка вредоносной полезной нагрузки и установление устойчивого канала управления. Атака опирается на простую, но эффективную комбинацию социальной инженерии и технических механизмов доставки вредоносного кода: Индикатор компрометации: Руководство по проверке работоспособности.pdf.jseC2: load.samework.o-r.kr/index.php Анализ выявил многоступенчатую архитектуру загрузчика и модульной полезной нагрузки: Этот инцидент подчёркивает несколько опасных тенденций в деятельности Kimsuky и родственных группировок: Практические меры для снижения риска при подобных атаках: Инцидент в конце октября 2025 года демонстрирует, что Kimsuky продолжает применять проверенные методы социальной инженерии в сочетании с технически с
Оглавление

В конце октября 2025 года скоординированная кампания, приписываемая северокорейской APT‑группе Kimsuky, приметила и использовала уязвимость человеческого фактора — файл с расширением .jse, выданный за руководство по медицинскому обследованию. Цель злоумышленников — первоначальная доставка вредоносной полезной нагрузки и установление устойчивого канала управления.

Суть атаки

Атака опирается на простую, но эффективную комбинацию социальной инженерии и технических механизмов доставки вредоносного кода:

  • Файл с обманным именем Руководство по проверке работоспособности.pdf.jse направлялся жертвам в расчёте на то, что пользователи попытаются открыть «PDF» и запустят содержимое.
  • При выполнении файл запускает запутанный JavaScript через WScript.exe, который обеспечивает загрузку и исполнение дальнейшей полезной нагрузки.
  • Заражённый хост устанавливает связь с C2‑сервером по адресу load.samework.o-r.kr/index.php, выполняя попытки подключения каждые 60 секунд.
  • Периодические запросы служат для получения управляемых ответов, которые определяют дальнейшие действия вредоносного ПО и позволяют поддерживать закрепление в системе.
Индикатор компрометации: Руководство по проверке работоспособности.pdf.jseC2: load.samework.o-r.kr/index.php

Технические детали и поведение полезной нагрузки

Анализ выявил многоступенчатую архитектуру загрузчика и модульной полезной нагрузки:

  • После установления связи с C2 сервер может возвращать зашифрованные бинарные данные.
  • Начальный модуль применяет RC4 с 30‑байтовым ключом для расшифровки дополнительных PES (portable executable files).
  • После успешной расшифровки распространяются и загружаются дополнительные библиотеки DLL, одна из которых вызывает так называемую «функцию приветствия», реализующую дальнейшие вредоносные действия по распоряжению операторов.
  • В ходе расследования следователям не удалось подтвердить конкретные сценарии дальнейших действий, так как соединение с C2 установить не удалось.

Индикаторы компрометации (IoC)

  • Имя файла: Руководство по проверке работоспособности.pdf.jse
  • URL C2: load.samework.o-r.kr/index.php

Почему это важно

Этот инцидент подчёркивает несколько опасных тенденций в деятельности Kimsuky и родственных группировок:

  • Комбинация социальной инженерии и исполняемых скриптов (.jse) остаётся эффективной — пользователи часто недооценивают риск нестандартных расширений.
  • Постоянные опросы C2 (каждую минуту) указывают на попытку обеспечить устойчивое управление и быструю доставку модулей.
  • Использование RC4 с фиксированным 30‑байтовым ключом и модульной загрузки делает кампанию гибкой и трудной для детектирования на ранних стадиях.

Рекомендации по защите

Практические меры для снижения риска при подобных атаках:

  • Относиться с подозрением к вложениям с двойными расширениями, особенно к файлам .jse и другим исполняемым скриптам.
  • Отключить или строго ограничить использование WScript.exe на рабочих станциях, где это возможно.
  • Блокировать и мониторить соединения к известным доменам и URL, включая load.samework.o-r.kr, на уровне прокси/фаервола и SIEM.
  • Контролировать аномальные сетевые звонки с частотой примерно 60 секунд — это характерный признак beaconing.
  • Использовать многоуровневую защиту: антивирус, EDR, sandbox‑анализ вложений и ограничение прав запускаемых процессов.
  • Проводить обучение сотрудников по распознаванию фишинговых писем и вложений с вводящими в заблуждение именами файлов.

Вывод

Инцидент в конце октября 2025 года демонстрирует, что Kimsuky продолжает применять проверенные методы социальной инженерии в сочетании с технически сложными механизмами доставки и управления вредоносным ПО. Даже при отсутствии подтверждённого полного спектра действий вредоносного кода, зафиксированные механизмы — .jse‑загрузчик, регулярный beaconing к C2 и расшифровка PES с помощью RC4 — указывают на серьёзную угрозу целевым организациям. Повышенная бдительность и реализация перечисленных мер способны существенно снизить риск успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Kimsuky: JSE-атака под видом руководства по медобследованию".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются