В марте 2026 года специалисты компании Internet Initiative Japan (IIJ) зафиксировали новую волну целевых атак с использованием вредоносных файлов ярлыков (LNK). Глубокий технический анализ показал, что наблюдаемая активность имеет высокую степень совпадения по тактикам, техникам и процедурам (TTPs) и реализации с ранее задокументированными кампаниями северокорейской APT-группы, известной как Kimsuky. Эта группировка, также отслеживаемая под именами APT43, Emerald Sleet и Velvet Chollima, длительное время атакует организации в Южной Корее и по всему миру, фокусируясь на сборе разведданных и краже данных.
Описание
Особенностью новой атаки стало использование легитимного облачного сервиса Dropbox в качестве командного центра для сбора информации с заражённых систем и доставки следующей стадии вредоносного ПО. Подобный подход позволяет злоумышленникам эффективно маскировать свой трафик под обычную активность пользователей популярного сервиса, что усложняет обнаружение средствами сетевой безопасности. Эксперты IIJ в своём отчёте детально описали механизм работы вредоносной программы.
Атака начинается с того, что жертва получает и запускает специально сформированный LNK-файл, который был загружен в публичный репозиторий вредоносного ПО из Южной Кореи. При его открытии исполняется команда, которая извлекает и декодирует скрытые внутри данные. В результате в системе создаётся несколько файлов в каталоге "C:\PerfLog". Ключевым из них является скрипт "www.ps1", который представляет собой основную полезную нагрузку. Дополнительно создаются VBS-скрипт для его запуска и XML-файл для планировщика задач Windows ("schtasks.exe"). Планировщик используется для создания задачи с именем "P", которая обеспечивает постоянное выполнение скрипта "www.ps1" при перезагрузке системы, то есть реализует механизм закрепления (persistence). После выполнения этих действий исходный LNK-файл и временный XML удаляются, что затрудняет первоначальный анализ инцидента.
Основная задача скрипта "www.ps1" - разведка и передача управления. Сначала он генерирует уникальный идентификатор клиента на основе MAC-адреса заражённого компьютера. Затем собирает обширный набор системной информации: имя домена, имя пользователя, версию операционной системы, список запущенных процессов, а также внешний IP-адрес, получаемый через запрос к сервису OpenDNS. Все эти данные записываются во временный файл.
Следующий шаг - эксфильтрация. Собранная информация загружается в учётную запись Dropbox, контролируемую злоумышленниками. Для этого в скрипте жёстко прописаны (захардкожены) учётные данные API Dropbox. Создаётся или используется папка с именем, включающим сгенерированный ранее идентификатор клиента, куда и помещается файл с данными. Однако на этом работа не заканчивается. Финальная часть скрипта пытается скачать из той же папки в Dropbox файл с определённым именем (содержащим суффикс "_ToKo") и выполнить его на заражённой машине как пакетный файл (.bat). Эта реализация указывает на двухэтапную схему атаки. Сначала операторы получают базовую информацию о системе. Изучив её, они могут принять решение о целесообразности дальнейшего заражения конкретного компьютера. Если цель представляет интерес, в контролируемую папку загружается следующий этап вредоносного ПО, например, полнофункциональный удалённый доступ (RAT), который автоматически скачивается и запускается уже присутствующим в системе скриптом.
Обнаруженная кампания является частью устойчивого тренда, когда APT-группы, связанные с КНДР, активно злоупотребляют инфраструктурой легитимных публичных сервисов. Эксперты IIJ отмечают, что с января 2026 года наблюдают несколько подобных атак, использующих не только Dropbox, но и, например, GitHub. Такой подход позволяет атакующим снизить затраты на поддержку собственной инфраструктуры, повысить живучесть канала управления и обойти простые блокировки на уровне сетевых фильтров или систем обнаружения вторжений (IDS), настроенные на известные адреса зловредных серверов.
Для специалистов по информационной безопасности этот инцидент служит очередным напоминанием о необходимости многоуровневой защиты. Помимо традиционных мер, таких как фильтрация вложений в почте и обучение пользователей, важно внедрять решения для анализа поведения (UEBA), которые могут выявить аномальную активность легитимных процессов, например, нехарактерное обращение Powershell к публичным облачным API. Также критически важно применять принцип минимальных привилегий и ограничивать возможность выполнения скриптов из временных каталогов для обычных пользователей. Мониторинг задач в планировщике и создание подозрительных файлов в системных папках, таких как "C:\PerfLog", также может помочь в раннем обнаружении подобных угроз.
Индикаторы компрометации
SHA256
- 29afb88a2bbff600799a42ae033e8b49101998e238a1eb568bbb88bd8242cad5
- 5aca578dd7894ca29c51ce911fbb78ebaf6b522c71a565be8525111e9a8b515f
- afe9a0298d945105ee69e84bdd7c41f35dad869a44098cb7e65a6a32a01cc617
- bedc8bd676a84df2e82f15a42ecec2a001a24725ee269334d46bde2983ea5f6b
