Группировка Larva-25004, связанная с северокорейскими хакерами Kimsuky, использует поддельные сертификаты для распространения вредоносного ПО

В ходе расследования были выявлены два опасных файла, замаскированных под документы о трудоустройстве. Первый носил название "Job Description (LM HR Division II).pdf.scr", второй - "Known as Automation Manager JD(LM HR II).scr". Оба файла содержали цифровую подпись Nexaweb с серийным номером 0315e137a6e2d658f07af454c63a0af2, датированную маем 2024 года. При запуске эти файлы демонстрировали потенциальным жертвам безобидный PDF-документ, связанный с вакансиями, одновременно активируя скрытую вредоносную нагрузку.

Особую тревогу вызывает возможная связь этой кампании с северокорейской хакерской группировкой Kimsuky, известной своими целевыми атаками на оборонные и исследовательские организации. ASEC присвоила данной активности кодовое имя Larva-25004. Характер приманки свидетельствует, что злоумышленники могли нацеливаться на сотрудников оборонных предприятий или лиц, интересующихся вакансиями в этой сфере.

Расследование показало, что обнаруженный сертификат использовался исключительно для подписи вредоносных файлов и не применялся для других целей. Попытки связаться с компанией Nexaweb для подтверждения происхождения сертификата пока не увенчались успехом. Примечательно, что предыдущий сертификат Nexaweb (серийный номер 28ce4d33e7994c2be95816eea5773ed1) не был замечен в подобных злоупотреблениях.

Для защиты от подобных угроз эксперты рекомендуют организациям усилить проверку цифровых подписей всех исполняемых файлов, проявлять особую осторожность с SCR-файлами, маскирующимися под документы, и внедрять современные системы обнаружения угроз. Также крайне важно обучать сотрудников распознаванию потенциально опасных вложений, особенно поступающих с непроверенных источников.

MD5

• 27d4ff7439694041ef86233c2b804e1f
• 73d2899aade924476e58addf26254c2e
• aa8936431f7bc0fabb0b9efb6ea153f9

Certificate serial number

• 28ce4d33e7994c2be95816eea5773ed1