APT-группа Kimsuky использует фишинговый PDF с отчетом о морской инспекции для скрытой доставки вредоносной программы

Основным вектором атаки стал файл с названием "GDO V001 USCG COC 수검 보고.pdf" (Отчет о проверке USCG COC). Этот документ, вероятно, распространяется через целевые фишинговые письма. Его содержимое представляет собой детализированный и, судя по всему, подлинный отчет о инспекции судна LPG-танкера, что призвано вызвать доверие у сотрудников судоходных компаний, логистических отделов или смежных отраслей. Однако внутри файла скрыт обфусцированный JavaScript-код, который инициирует многоступенчатую цепочку заражения.

Анализ вредоносного скрипта показывает тщательно продуманный механизм работы. Весь код обернут в блоки "try/catch", что обеспечивает тихое выполнение даже при возникновении ошибок и не привлекает внимания пользователя. Первым этапом скрипт создает и открывает легитимную PDF-версию отчета, выступающую в роли приманки. Параллельно, в фоновом режиме, происходит основная вредоносная активность.

Используя объекты Windows Script Host (WSH), такие как "Scripting.FileSystemObject" и "WScript.Shell", код декодирует из скрипта большую строку в кодировке Base64 объемом около 12.6 МБ. Полученный бинарный файл временно сохраняется в скрытой системной папке "C:\ProgramData". Далее, для маскировки, злоумышленники задействуют стандартную системную утилиту "certutil" с параметром "-decode". Это позволяет преобразовать временный файл в конечный исполняемый модуль, обходя простые сигнатуры антивирусов.

Финальная стадия атаки включает выполнение этого модуля. Для этого используется другая легитимная утилита - "regsvr32". Ее запуск с определенными ключами ("/s /n /i:") позволяет выполнить код, содержащийся в DLL-библиотеке, без ее регистрации в системе. Подобная техника, известная как "живучесть" (persistence) через боковую загрузку, часто применяется APT-группами для обхода средств защиты.

Сетевая активность вредоносной программы указывает на два адреса для связи с командным сервером (C2): IP-адрес "216.219.95[.]242" и домен "chonkris.n-e[.]kr". Это позволяет злоумышленникам удаленно управлять зараженной системой, похищать данные и загружать дополнительный вредоносный код.

Группа Kimsuky, также известная как APT43 или Emerald Sleet, давно ассоциируется с разведывательными операциями в интересах Северной Кореи. Ее типичные цели включают исследовательские институты, правительственные организации и компании в сфере международной политики, безопасности и высоких технологий. Использование тематически релевантной приманки, связанной с морскими перевозками и проверками USCG, указывает на возможную направленность данной кампании на судоходный сектор или смежные области. Подобная целевая рассылка может быть частью сбора разведданных для обхода международных санкций или получения экономических преимуществ.

На момент обнаружения, по данным исследователя, подавляющее большинство антивирусных движков не детектировали данную угрозу. Это подчеркивает ее сложность и эффективность применяемых методов обфускации. Эксперты рекомендуют организациям, особенно в целевых отраслях, усилить осведомленность сотрудников о фишинге, внимательно проверять вложения даже из, казалось бы, знакомых источников, и внедрять многоуровневую защиту, включающую анализ поведения приложений и блокировку подозрительных макросов и скриптов.

IPv4

• 216.219.95.242

Domains

• chonkris.n-e.kr

MD5

• 46f89fc292ac159e4998de3d51a6a15b

SHA1

• e237ce3f8379ceb6181cc3a57f8679822c362292

SHA256

• 9f73e39ca5afd64bb1bd3ed2da84c1fec67143af23ab59fe9d66387fc61b1395