Изображение: recraft
Исследователи южнокорейской компании Genians выявили новую тактику северокорейской кибергруппировки APT37, в рамках которой злоумышленники задействуют встроенный Android‑сервис Google Find Hub. Этот инструмент используется для сброса устройств до заводских настроек и удаления всей пользовательской информации. Цель атак — жители Южной Кореи, особенно лица, имеющие отношение к правозащитной деятельности, консультированию перебежчиков и политической активности.
По информации специалистов Genians, кампания организована кластером KONNI, который исторически связывается с группировками APT37 (ScarCruft) и Kimsuky (Emerald Sleet). Эти структуры действуют от имени интересов КНДР и неоднократно проводили атаки на государственные учреждения, образовательные организации и криптовалютные сервисы.
В рамках новой операции атаки начинаются через мессенджер KakaoTalk. Потенциальным жертвам отправляется вредоносный файл, выдающий себя за официальный документ или приложение, связанное с южнокорейскими ведомствами, например, налоговой службой или полицией.
Как отмечается в докладе Genians, вложения содержат подписанные MSI-файлы, замаскированные под архивы. При запуске таких вложений активируются скрипты, создающие видимость ошибки установки языкового пакета.
На фоне этой подделки запускаются AutoIT-скрипты, сохраняющие контроль над системой и обеспечивающие связь с внешним C2-сервером. С этого момента на машину загружаются дополнительные компоненты, в том числе трояны RemcosRAT, QuasarRAT и RftRAT. Они позволяют злоумышленникам вести кейлоггинг, получать удалённый доступ и собирать данные, в том числе учётные записи и пароли от Google и Naver.
Используя полученные данные, атакующие получают доступ к аккаунтам Google своих целей. Через интерфейс Find Hub (стандартного инструмента «Найти моё устройство») злоумышленники могут отслеживать местоположение зарегистрированных Android-гаджетов, отправлять команды на их блокировку или полный сброс. По словам аналитиков Genians, именно этот механизм применяется для удаления следов вторжения, задержки реагирования и изоляции жертв. После очистки устройства исчезают данные, а также сеансы мессенджера KakaoTalk, что позволяет хакерам перехватывать управление аккаунтами и распространять вредоносные файлы от имени пострадавших.
Специалисты установили, что одна из атак была направлена на консультанта, оказывающего психологическую помощь северокорейским перебежчикам. Его аккаунт был скомпрометирован, после чего вредоносное вложение, маскирующееся под «программу снятия стресса», было направлено реальному перебежчику. Анализ цифровых следов показал, что злоумышленники целенаправленно отслеживали местоположение жертвы и активировали процедуру сброса в тот момент, когда она находилась вне дома, не имея доступа к стационарным средствам восстановления.
Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры используют сервис Google для удаления данных с Android-устройств и взлома аккаунтов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.