Исследователи кибербезопасности из ESET идентифицировали новую вредоносную кампанию, связанную с северокорейской группой APT Kimsuky. Целями атаки стали южнокорейские дипломатические организации, в частности, неправительственная организация "Дипломатическая площадь". Основным инструментом атаки выступил скрипт под названием "Diplomatic Plaza.ps1", детектируемый как PowerShell/Kimsuky.AX.
Описание
Атака начинается с выполнения PowerShell-скрипта, основной задачей которого является сбор конфиденциальной информации с зараженного компьютера и ее последующая передача злоумышленникам через сервис Dropbox. Собранные данные включают детали запущенных процессов, версию операционной системы, публичный IP-адрес машины и информацию об установленных антивирусных продуктах. Эти данные временно сохраняются в локальном файле "C:\Users\Public\Documents\tmp.ini", после чего загружаются на аккаунт злоумышленников в Dropbox. Для аутентификации в Dropbox API скрипт использует жестко прописанные (hardcoded) учетные данные: client_id, client_secret и refresh_token.
1 2 3 | client_id=75m(c)2yhns7tfcad client_secret=q4(b)bqpnc5g2d85l refresh_token=iUPmF(P)0K-Hc(A)AAAAAAAAAUn2al_tpIVg_GqzVK(P)m27Q3IYlYX80OEDrbq7hZIFUB |
После успешной эксфильтрации данных скрипт пытается загрузить из Dropbox второй этап вредоносной нагрузки (payload) - файл с именем "/jhb_test.db", который сохраняется на диск как "C:\Users\Public\Music\po.bat". Если загрузка проходит успешно, исходный файл в Dropbox переименовывается, а загруженный файл запускается в скрытом режиме с помощью команды "cmd.exe", что позволяет злоумышленникам оставаться незамеченными.
Анализ второго этапа атаки показывает, что файл "po.bat" является пакетным скриптом, который использует утилиту "curl" для загрузки дополнительных исполняемых файлов и скриптов с удаленного сервера, замаскированного под легитимный южнокорейский домен "koreadiplomacyplaza.kro.kr". Загружаемые компоненты копируются в папку "C:\Users\Public\Videos\" и включают в себя исполняемый файл "pm.exe", его манифест и дополнительный PowerShell-скрипт "1.ps1". Для обеспечения устойчивости (persistence) в системе скрипт создает запланированную задачу (scheduled task) с помощью "schtasks", что гарантирует автоматический запуск вредоносного кода при последующих загрузках системы.
Группа Kimsuky, также известная как APT43, Thallium и Black Banshee, давно ассоциируется с северокорейскими государственными хакерами и известна своими целевыми атаками на организации в сфере международных отношений, обороны и академических исследований. Выбор цели в данном случае, по всей видимости, мотивирован ее связями с политической деятельностью в Южной Корее.
Индикаторы компрометации
MD5
- 8ef331da6a71931c8843488c6d13a1a2
SHA1
- 3f0a89e8b1d4ab1b901c3bce93a8eae460ff1420
SHA256
- 89a6d3392668ba1b765a5ebcc8ac5045fffe8b6ef431004cba352868424a5cc3
