Группа "Kimsuky ", о которой известно, что она поддерживается Северной Кореей, действует с 2013 года. Сначала они атаковали связанные с Северной Кореей исследовательские институты в Южной Корее, а в 2014 году совершили нападение на южнокорейское энергетическое агентство. С 2017 года объектами их атак стали и другие страны. Обычно группа проводит фишинговые атаки на представителей оборонного, дипломатического и академического секторов, оборонной промышленности и СМИ, а также на национальные организации. Их целью является утечка внутренней информации и технологий из объектов атак.
Kimsuky APT
После получения первоначального доступа Kimsuky обычно устанавливает бэкдоры для контроля над зараженными системами или Infostealers для утечки конфиденциальной информации внутри зараженных систем. В атаках используются вредоносные программы с открытым исходным кодом, такие как xRAT (Quasar RAT), или вредоносные программы, разработанные самой группой, однако для управления зараженной системой группа использует и легитимные инструменты.
Характерной особенностью группы Kimsuky является использование в процессе атак этих вредоносных программ наряду с различными инструментами, поддерживающими удаленное управление. Наиболее распространенным методом удаленного управления является протокол Remote Desktop Protocol (RDP). В средах, где нет RDP, устанавливается инструмент с открытым исходным кодом RDP Wrapper. После установки RDP добавляется учетная запись пользователя для доступа к RDP, либо используются дополнительные части вредоносного ПО для сокрытия добавленной учетной записи и настройки нескольких сеансов RDP.
Помимо RDP, известны случаи настройки и использования в атаках TinyNuke (общедоступная вредоносная программа) или TightVNC (инструмент VNC с открытым исходным кодом). VNC, также известный как Virtual Network Computing, представляет собой систему совместного использования экрана, позволяющую удаленно управлять другими компьютерами, подобно RDP. Кроме того, известны случаи, когда для управления зараженной системой использовался Chrome Remote Desktop, поддерживаемый браузером Google Chrome. [6]
В этой статье мы рассмотрим последние случаи, когда группа Kimsuky устанавливала BabyShark с помощью предполагаемых фишинговых атак, а затем устанавливала различные штаммы вредоносных программ, связанных с RDP. Используемые в атаках инструменты имеют схожие с предыдущими случаями характеристики, но, судя по их PDB-информации, можно предположить, что они были созданы недавно для использования в атаках.
Кроме них, была обнаружена еще одна новая вредоносная программа, название которой, использованное угрожающим агентом при ее создании, - "RevClient". Эта вредоносная программа работает, получая команды от угрожающего агента через C&C-сервер. В зависимости от команды он может добавлять учетные записи пользователей или включать функцию проброса портов.
Indicators of Compromise
IPv4 Port Combinations
- 5.61.59.53:2086
URLs
- https://onessearth.online/up/upload_dotm.php
- https://powsecme.co/up/upload_dotm.php
MD5
- 02804d632675b2a3711e19ef217a2877
- 0d6717c3fa713c5f5f5cb0539b94b84f
- 0d691673af913dc0942e55548f6e2e4e
- 116a71365b83cc38211ccfc8059b363e
- 2dbe8e89310b42e295bfdf3aad955ba9
- 7313dc4d9d6228e442fc6ef9ba5a1b9a
- ad9a3e893abdac7549a7d66ca32142e8
- be2f73a637258aa872bdf548daf55336
- c8d589ac5c872b12e502ec1fc2fee0c7