Кибергруппы КНДР усиливают атаки: новые инструменты Kimsuky и Lazarus

Группа Kimsuky, известная своими шпионскими операциями, развернула новый бэкдор под названием HttpTroy, в то время как Lazarus представил усовершенствованную версию своего инструмента удаленного доступа BLINDINGCAN. Обе атаки характеризуются скрытностью выполнения кода и многоуровневой обфускацией, что затрудняет их обнаружение системами безопасности.

Целевая атака Kimsuky: трехэтапная инфекционная цепочка

Атака Kimsuky была нацелена на единственную жертву в Южной Корее и началась с ZIP-архива, замаскированного под счет за VPN-услуги. Внутри архива находился SCR-файл с тем же именем, который при запуске инициировал сложную трехэтапную цепочку заражения.

Первоначальный дроппер, написанный на Go, содержал три встроенных файла, зашифрованных с помощью операции XOR с ключом 0x39. Для сохранения видимости легитимности программа отображала поддельный PDF-документ со счетом за VPN-услуги, одновременно регистрируя следующий этап атаки как COM-сервер через regsvr32.exe.

Первый бэкдор, Memload_V3, выполнял две основные функции: перерегистрацию запланированной задачи AhnlabUpdate для обеспечения устойчивости и дешифровку финальной полезной нагрузки с использованием алгоритма RC4. Задача настраивалась на выполнение каждую минуту, что обеспечивало постоянное присутствие вредоноса в системе.

Финальный этап, бэкдор HttpTroy, предоставлял злоумышленникам полный контроль над скомпрометированной системой. Его возможности включали загрузку и выгрузку файлов, захват скриншотов, выполнение команд с повышенными привилегиями, загрузку исполняемых файлов в память, обратные оболочки и удаление следов деятельности.

HttpTroy использовал многоуровневую обфускацию для затруднения анализа и обнаружения. Вызовы API скрывались с помощью пользовательских техник хеширования, а строки обфусцировались через комбинацию операций XOR и SIMD-инструкций. Бэкдор избегал повторного использования хешей API и строк, динамически восстанавливая их во время выполнения с использованием различных комбинаций арифметических и логических операций.

Коммуникация с командным сервером осуществлялась исключительно через HTTP POST-запросы. Все передаваемые данные проходили двухэтапное преобразование: XOR-шифрование с ключом 0x56 с последующим кодированием Base64.

Усовершенствованная атака Lazarus: новый вариант BLINDINGCAN

В ходе мониторинга угроз была обнаружена новая вариация вредоносного ПО Comebacker, атрибутированная группе Lazarus. Атака была нацелена на две жертвы в Канаде и использовала усовершенствованную версию инструмента удаленного доступа BLINDINGCAN.

Исследователи наблюдали два тесно связанных экземпляра вредоноса Comebacker: DLL-вариант, расположенный по пути C:\ProgramData\comms.bin, и EXE-вариант в C:\ProgramData\Comms\ssh.bin. Несмотря на разный формат, оба варианта имели идентичную функциональность.

Поведение дроппера включало динамическое разрешение функций, проверку параметров командной строки, выбор имени службы, логирование временных меток, развертывание полезной нагрузки и конфигурации, а также выполнение службы. Для некоторых процессов дешифрования строк использовался поточный шифр HC256, для других - алгоритм RC4.

Второй этап атаки, Compcat_v1.dll, служил оболочкой для финальной полезной нагрузки. Компонент дешифровал встроенный PE-файл с использованием HC256, затем распаковывал данные через библиотеку miniz и загружал результирующий PE-файл непосредственно в память.

Финальный полезный груз представлял собой новую вариацию инструмента удаленного доступа BLINDINGCAN, улучшенную дополнительными криптографическими элементами и расширенными возможностями. Вредоносное ПО имело два режима работы в зависимости от параметра, передаваемого в основную функцию.

Процесс аутентификации включал отправку GET-запроса со значением проверки целостности из конфигурации, за которым следовали 4 случайные заглавные буквы. Затем вновь полученное значение сдвигалось со случайным смещением от 0 до 9, шифровалось XOR с 0xC6 и кодировалось Base64 перед отправкой.

После успешной аутентификации вредоносное ПО генерировало RSA-2048 ключи для шифрования. Открытый ключ отправлялся на командный сервер аналогичным образом. Для шифрования последующих коммуникаций использовался AES-128-CBC.

Обновленный BLINDINGCAN предлагал злоумышленникам расширенный набор из 27 команд, включая эксфильтрацию файлов, выполнение процессов, управление системами, захмотр скриншотов и фотографий с веб-камер, а также различные методы уклонения от обнаружения.

Рекомендации по защите

Эксперты по безопасности рекомендуют организациям проявлять особую бдительность при работе с вложениями электронной почты, особенно поступающими из ненадежных источников. SCR-файлы следует рассматривать как исполняемые программы, а не документы. Критически важно поддерживать антивирусное программное обеспечение в актуальном состоянии и регулярно обновлять системы.

Для обнаружения подобных угроз специалисты рекомендуют мониторить необычную активность запланированных задач, подозрительные сетевые соединения и аномальное использование системных утилит. Особое внимание следует уделять файлам, маскирующимся под легитимные системные компоненты или документы.

Обнаруженные кампании демонстрируют продолжающуюся эволюцию тактик северокорейских кибергрупп, которые адаптируют свои инструменты для повышения скрытности и устойчивости. Организациям необходимо усиливать многоуровневую защиту и повышать осведомленность сотрудников о современных фишинговых техниках.

URLs

• http://166.88.11.10/upload/check.asp
• http://23.27.140.49/Onenote/index.asp
• https://tronracing.com/upload/check.asp

SHA256

• 368769df7d319371073f33c29ad0097fbe48e805630cf961b6f00ab2ccddbb4c
• 509fb00b9d6eaa74f54a3d1f092a161a095e5132d80cc9cc95c184d4e258525b
• b5eae8de6f5445e06b99eb8b0927f9abb9031519d772969bd13a7a0fb43ec067
• c60587964a93b650f3442589b05e9010a262b927d9b60065afd8091ada7799fe