Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Северокорейская кроссплатформенная атака через сервис Google «Найди мое устройство»

3 мин
Сложная кроссплатформенная кампания северокорейских злоумышленников сочетает целевой фишинг в мессенджере KakaoTalk и вредоносные Windows‑компоненты для получения доступа к облачным учётным записям жертв и последующего удаления данных на их Android‑устройствах через сервис Google «Find My Device«. Особенность атаки — переход от заражения Windows к разрушительному воздействию на мобильные устройства без использования традиционного мобильного malware. Атака разворачивается по заранее отработанному сценарию: Ключевые элементы кампании: Главная опасность — гибридный характер атаки: злоумышленники обходят необходимость разработки и распространения мобильного malware, вместо этого используют компрометированную Windows‑машину для кражи учётных данных и дальнейшего удалённого управления мобильными устройствами через легитимные облачные сервисы. Такой подход повышает устойчивость кампании и снижает вероятность обнаружения классическими мобильными средствами защиты. «Злоумышленники используют ле
Оглавление

Сложная кроссплатформенная кампания северокорейских злоумышленников сочетает целевой фишинг в мессенджере KakaoTalk и вредоносные Windows‑компоненты для получения доступа к облачным учётным записям жертв и последующего удаления данных на их Android‑устройствах через сервис Google «Find My Device«. Особенность атаки — переход от заражения Windows к разрушительному воздействию на мобильные устройства без использования традиционного мобильного malware.

Как работает атака — по шагам

Атака разворачивается по заранее отработанному сценарию:

  • Фишинговое сообщение в KakaoTalk, замаскированное под официальные сообщения (часто под видом Национальной налоговой службы Республики Корея), содержит вложение — подписанный установочный файл MSI.
  • При запуске MSI на компьютере с Windows выполняются сценарии, написанные на AutoIt, которые устанавливают удалённые трояны доступа (RATs), в частности RemcosRAT и QuasarRAT.
  • Основная цель — сбор учётных данных: злоумышленники извлекают сохранённые пароли и куки из браузеров, в первую очередь для аккаунтов Google и Naver.
  • Получив доступ к учётной записи Google жертвы, злоумышленники используют функцию «Find My Device«, чтобы отправить команду сброса настроек для зарегистрированного Android‑устройства, что приводит к полной потере данных.

Вредоносные компоненты и цель кампании

Ключевые элементы кампании:

  • MSI с цифровой подписью — носитель вредоносных скриптов.
  • AutoIt — средство для запуска и автоматизации вредоносных сценариев.
  • RemcosRAT и QuasarRAT — полезные нагрузки для удалённого управления и кражи данных.
  • Эксплуатация облачных сервисов (Google) для фактического разрушительного воздействия на мобильные устройства.

Почему это опасно

Главная опасность — гибридный характер атаки: злоумышленники обходят необходимость разработки и распространения мобильного malware, вместо этого используют компрометированную Windows‑машину для кражи учётных данных и дальнейшего удалённого управления мобильными устройствами через легитимные облачные сервисы. Такой подход повышает устойчивость кампании и снижает вероятность обнаружения классическими мобильными средствами защиты.

«Злоумышленники используют легитимные облачные сервисы как инструмент для деструктивных действий, что требует от организаций и пользователей пересмотра подходов к защите учётных записей и конечных точек», — отмечают эксперты по кибербезопасности.

Рекомендации по защите

Для снижения рисков и защиты от подобных кампаний рекомендуется принять следующие меры:

  • Включить многофакторную аутентификацию (MFA) для всех учётных записей. Один только пароль в таких атаках недостаточен.
  • Для особо важных аккаунтов зарегистрироваться в программе Google Advanced Protection Program, которая повышает уровень защиты учётной записи.
  • Повышать осведомлённость пользователей: не запускать непроверенные файлы, даже если они пришли через мессенджер от знакомых; проверять подлинность сообщений, поступивших якобы от госорганов.
  • Развернуть и поддерживать решения для обнаружения и реагирования на конечных точках (EDR), способные обнаруживать выполнение скриптов на базе AutoIt и блокировать известные RAT‑полезные нагрузки.
  • Ограничить хранение критичных учётных данных в браузерах; использовать надёжные password manager и контролировать сессии и активности входа в аккаунты через журналы и уведомления безопасности.
  • Внедрять политику минимальных привилегий и сегментацию сети, чтобы ограничить размах компрометации в случае поражения одной конечной точки.

Вывод

Эта кампания демонстрирует, что злоумышленники всё чаще комбинируют классические векторы фишинга и вредоносные Windows‑компоненты с последующим использованием легитимных облачных сервисов для нанесения реального ущерба мобильным устройствам. Защита требует комплексного подхода: технических средств (MFA, EDR, мониторинг), организационных мер и постоянного обучения пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Северокорейская кроссплатформенная атака через сервис Google "Найди мое устройство"".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются