Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, использующую Chrome Remote Desktop. Угрожающая группа Kimsuky использует для получения контроля над зараженными системами не только разработанную ими вредоносную программу AppleSeed, но и вредоносные программы удаленного управления, такие как Meterpreter. Также продолжают обнаруживаться журналы, в которых группа использует настроенный VNC или инструменты удаленного управления, такие как RDP Wrapper.
APT-группа Kimsuky - это группа угроз, которая, как считается, поддерживается Северной Кореей и активна с 2013 года. Сначала они атаковали связанные с Северной Кореей исследовательские институты в Южной Корее, а в 2014 году напали на корейскую энергетическую корпорацию. С 2017 года их атаки были направлены и на другие страны, помимо Южной Кореи.
Kimsuky APT
В последнее время группа Kimsuky в основном использует файлы документов HWP и MS Office или файлы CHM в процессе распространения вредоносного ПО. Пользователи, получающие фишинговые письма с вложениями этих вредоносных программ, могут открыть их, думая, что это обычные файлы документов, и, соответственно, установить в свою систему дополнительное вредоносное ПО. В процессе распространения AppleSeed в основном использовались WSF или JS-скрипты с файлами, замаскированными под расширения файлов документов. При выполнении этой вредоносной программы вместе с ней запускается обычный файл документа, и пользователь может подумать, что он открыл обычный файл документа.
Хотя первоначальный способ распространения пока не определен, APT-группа Kimsuky использовала в своих атаках вредоносные программы скриптового типа в формате WSF или JS. Этот тип журнала также был оставлен в прошлых случаях, когда вредоносная программа Dropper скриптового типа использовала команды Powershell для декодирования файлов.
Декодированная вредоносная программа - AppleSeed, она выполнялась после того, как ей были переданы следующие аргументы. Из всех аргументов "123qweASDZXC", введенный в "/I", является условием, необходимым для запуска AppleSeed. Если этот аргумент не указан, AppleSeed не будет запущен.
powershell.exe -windowstyle hidden cmd /c cmd /c regsvr32.exe /s /n /i:123qweASDZXC C:\Windows\..\ProgramData\o5C2anK.efgLПосле этого агент угроз использовал AppleSeed для установки различных других вредоносных программ. В их число входят Infostealers, постоянно используемый группой Kimsuky в прошлом, RDP Patcher и Ngrok. Кроме того, есть и другие обнаруженные журналы, которые показывают, что угроза установила Chrome Remote Desktop, чтобы иметь возможность удаленно управлять зараженной системой.
Indicators of Compromise
URLs
- http://getara1.mygamesonline.org/
- http://pikaros2.r-e.kr/
- https://bigfile.mail.naver.com/download?fid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfqvxp2==
MD5
- 80f381a20d466e7a02ea37592a26b0b8
- 946e1e0d2e0d7785d2e2bcd3634bcd2a
- b6d11017e02e7d569cfe203eda25f3aa
- d2eb306ee0d7dabfe43610e0831bef49
- d6a38ffdbac241d69674fb142a420740