Группа APT-C-55, также известная как Kimsuky, продолжает демонстрировать высокую активность в киберпространстве. Этот северокорейский APT, впервые задокументированный Kaspersky в 2013 году, традиционно фокусируется на целевых атаках против южнокорейских государственных структур, научных учреждений и СМИ. Однако в последние годы география их операций расширилась, включив США, Россию и страны Европы. Основные цели злоумышленников - шпионаж и хищение конфиденциальных данных.
Описание
Эксперты 360 Advanced Threat Research обнаружили новую кампанию Kimsuky, нацеленную на Южную Корею. Атакующие использовали поддельный установщик Bandizip, который не только имитирует легитимное ПО, но и скрытно загружает вредоносные скрипты, а также внедряет модифицированный троян HappyDoor, защищенный обфускацией VMProtect (VMP).
Механика атаки
Заражение начинается с исполнения файла "bandizip installer.exe", который действительно устанавливает Bandizip, чтобы избежать подозрений. Однако параллельно запускается многоэтапный процесс:
- Локальная деструктивная активность: в временные каталоги распаковывается DLL-файл, активируемый через regsvr32.
- Удаленная нагрузка: через mshta выполняется HTML-документ со встроенным VBScript, который загружает дополнительные скрипты с сервера 67.217.62[.]222.
- Сбор данных: скрипты извлекают системную информацию (IP, антивирусы, список файлов в ключевых директориях) и отправляют её на C2.
Особое внимание привлекает метод скрытности: злоумышленники используют альтернативные потоки данных (ADS) для записи конфигурации в файл .Uso1Config.conf, что усложняет обнаружение.
Анализ вредоносных компонентов
1. Скриптовая часть
Удаленные скрипты содержат мощные возможности по сбору данных, включая:
- Перехват файлов из системных папок (например, %programdata%\Microsoft\Windows\Start Menu\Programs).
- Создание скрытых задач через планировщик для персистентности.
2. PE-модуль (HappyDoor)
Главная нагрузка - DLL "ut_happy(x64).dll", защищенная VMP. Она работает в три этапа:
- Установка: копирует себя в %AppData% и создает задание в планировщике.
- Инициализация: регистрирует ключи RSA и C2-адреса в реестре (HKCU\SOFTWARE\Microsoft\Notepad).
- Исполнение: реализует шесть функций, включая:
- Кейлоггинг.
- Кража документов (HWP, PDF, Docx).
- Запись звука с микрофона.
- Мониторинг USB-устройств.
Атрибуция Kimsuky
Эксперты подтвердили принадлежность кампании к Kimsuky на основе:
- Схожести TTPs: методы обфускации скриптов и пути exfiltration данных совпадают с прошлыми операциями.
- Использование HappyDoor: ранее группа уже применяла этот бэкдор, но теперь усилила его VMP.
- Инфраструктура: домен u.appw.p-e.kr соответствует историческим шаблонам Kimsuky (например, использование .kr и сегмента "p-e").
Выводы и рекомендации
Kimsuky демонстрирует эволюцию: переход на VMProtect, усложнение цепочек выполнения и комбинирование скриптовых и бинарных нагрузок. Это требует усиления мониторинга:
- Проверка неожиданных вызовов regsvr32/mshta.
- Анализ ADS и скрытых файлов в %ProgramData%.
- Блокировка известных C2 (67.217.62[.]222).
Главная угроза - в социальной инженерии: атака начинается с доверия к "установщику". Обучение сотрудников и запрет запуска непроверенных файлов критически важны для защиты.
Примечание: Kimsuky быстро адаптируется. Обнаруженные IoC - лишь часть их арсенала, и ожидается появление новых модификаций.
Индикаторы компрометации
IPv4
- 67.217.62.222
URLs
- http://67.217.62.222/microsoft/app/google
- http://67.217.62.222/microsoft/search
- http://d.appz.p-e.kr/index.php
- http://mrasis.n-e.kr/comarov/search
- http://u.appw.p-e.kr/index.php
MD5
- 07fbf46d3a595a6f82e477ed4571294b
- 16d30316a6b700c78d021df5758db775
- a6598bbdc947286c84f951289d14425c
- d1ec20144c83bba921243e72c517da5e
- f4cd4449e556b0580c2282fec1ca661f
