Лаборатория SentinelLabs обнаружила продолжающиеся атаки со стороны Kimsuky, северокорейской APT, спонсируемой государством и имеющей долгую историю нападений на организации в Азии, Северной Америке и Европе.
Kimsuky - это северокорейская группа, занимающаяся передовыми постоянными угрозами (APT) и имеющая долгую историю целевых атак по всему миру. Согласно текущим сведениям о группе, ее основная задача - сбор разведданных и шпионские операции в поддержку правительства Северной Кореи, по крайней мере, с 2012 года. В 2018 году группа была замечена в развертывании семейства вредоносных программ под названием BabyShark, и последние наблюдения показывают, что группа усовершенствовала эту вредоносную программу с расширенными возможностями разведки - SentinelLabs называеют этот компонент BabyShark ReconShark.
В текущих кампаниях используется новый компонент вредоносного ПО, названный нами ReconShark, который активно доставляется специально нацеленным лицам через фишинговые электронные письма, ссылки на OneDrive, ведущие к загрузке документов, и выполнение вредоносных макросов.
ReconShark функционирует как разведывательный инструмент с уникальными инструкциями по выполнению и методами связи с сервером. Недавняя активность была связана с более широким набором действий, которые мы уверенно приписываем Северной Корее.
Indicators of Compromise
Domains
- yonsei.lol
URLs
- http://rfa.ink/bio/ca.php?na=dot_avg.gif
- https://mitmail.tech/gorgon/ca.php?na=dot_avg.gif
- https://mitmail.tech/gorgon/ca.php?na=dot_esen.gif
- https://mitmail.tech/gorgon/ca.php?na=dot_eset.gif
- https://mitmail.tech/gorgon/ca.php?na=dot_kasp.gif
- https://mitmail.tech/gorgon/ca.php?na=dot_v3.gif
- https://mitmail.tech/gorgon/ca.php?na=reg.gif
- https://mitmail.tech/gorgon/ca.php?na=secur32.gif
- https://mitmail.tech/gorgon/ca.php?na=start0.gif
- https://mitmail.tech/gorgon/ca.php?na=start1.gif
- https://mitmail.tech/gorgon/ca.php?na=start2.gif
- https://mitmail.tech/gorgon/ca.php?na=start3.gif
- https://mitmail.tech/gorgon/ca.php?na=start4.gif
- https://mitmail.tech/gorgon/ca.php?na=vbs.gif
- https://mitmail.tech/gorgon/ca.php?na=vbs_esen.gif
- https://mitmail.tech/gorgon/ca.php?na=video.gif
- https://mitmail.tech/gorgon/ca.php?na=videop.gif
- https://mitmail.tech/gorgon/r.php
- https://mitmail.tech/gorgon/t1.hta
- https://newshare.online/lee/ca.php?na=secur32.gif
- https://rfa.ink
- https://rfa.ink/bio/ca.php?na=dot_esen.gif
- https://rfa.ink/bio/ca.php?na=dot_eset.gif
- https://rfa.ink/bio/ca.php?na=dot_kasp.gif
- https://rfa.ink/bio/ca.php?na=dot_v3.gif
- https://rfa.ink/bio/ca.php?na=reg.gif
- https://rfa.ink/bio/ca.php?na=secur32.gif
- https://rfa.ink/bio/ca.php?na=start0.gif
- https://rfa.ink/bio/ca.php?na=start1.gif
- https://rfa.ink/bio/ca.php?na=start2.gif
- https://rfa.ink/bio/ca.php?na=start3.gif
- https://rfa.ink/bio/ca.php?na=start4.gif
- https://rfa.ink/bio/ca.php?na=vbs.gif
- https://rfa.ink/bio/ca.php?na=vbs_esen.gif
- https://rfa.ink/bio/ca.php?na=video.gif
- https://rfa.ink/bio/ca.php?na=videop.gif
- https://rfa.ink/bio/d.php?na=battmp
- https://rfa.ink/bio/r.php
- https://rfa.ink/bio/t1.hta
SHA1
- 86a025e282495584eabece67e4e2a43dca28e505
- c8f54cb73c240a1904030eb36bb2baa7db6aeb01
