Эксперты по кибербезопасности из компании Trend Micro обнаружили беспрецедентный случай координации между двумя ведущими северокорейскими APT-группами. Группы Kimsuky и Lazarus, действующие под управлением Разведывательного управления КНДР, организовали слаженную кампанию по хищению конфиденциальных данных и криптовалют, используя уязвимости нулевого дня и целенаправленный фишинг.
Описание
Согласно отчету, опубликованному в январе 2025 года, группы выработали модель взаимодействия «разведка + экономическая добыча». Kimsuky выступает в роли «цифрового шпиона», фокусируясь на сборе разведывательной информации, в то время как Lazarus концентрируется на финансовых атаках, прежде всего на краже криптовалют для пополнения государственного бюджета КНДР.
Яркой иллюстрацией их совместной работы стала атака на южнокорейскую блокчейн-компанию. Атака началась с фишингового письма от Kimsuky, маскировавшегося под приглашение на международный симпозиум по блокчейн-безопасности. Вложение в формате HWP содержало вредоносную программу FPSpy, которая после открытия файла тайно активировала кейлогер KLogEXE. Этот инструмент собирал пароли от почты, записи встреч и другую конфиденциальную информацию. Дополнительно Kimsuky использовала поддельные запросы на академическое сотрудничество для распространения вредоносного кода через MSC-файлы, что позволяло картировать сетевую инфраструктуру компании и идентифицировать ключевые системы.
Собранная Kimsuky информация была передана группе Lazarus, которая начала вторую фазу атаки. Злоумышленники воспользовались уязвимостью нулевого дня CVE-2024-38193 в драйвере вспомогательных функций Windows. Они отправили на внутренние серверы компании вредоносные файлы проекта Node.js, замаскированные под легитимный инструментарий с открытым исходным кодом. Когда технический специалист распаковал архив, злоумышленники получили системные привилегии и развернули бэкдор InvisibleFerret.
Этот бэкдор обладал возможностями противодействия обнаружению, используя вредоносное ПО Fudmodule для обхода сканирования EDR-системами. Одновременно с этим запускался инструмент BeaverTail для хищения приватных ключей и истории транзакций из блокчейн-кошельков. В течение 48 часов с кошельков компании было несанкционированно переведено криптоактивов на сумму 32 миллиона долларов США, при этом системы безопасности не зафиксировали подозрительной активности.
На завершающем этапе обе группы использовали общую сеть командных серверов для удаления следов компрометации. Аналитики отмечают, что IP-адреса этих серверов перекликаются с теми, что использовались во время кибератаки на южнокорейские атомные объекты в 2014 году.
Технический арсенал групп постоянно эволюционирует. Kimsuky, как «пионер разведки», совершенствует методы социальной инженерии, создавая сложные легенды. Группа активно использует поддельные электронные адреса профессоров университетов, создает клоны сайтов академических конференций и даже генерирует фальшивые аннотации научных работ с помощью ИИ для повышения доверия жертв. С октября 2024 года группа внедрила в свои операции новый удаленный доступ троянец MoonPeak, который маскируется под процесс системного обновления.
Lazarus, в свою очередь, демонстрирует высокую эффективность в эксплуатации уязвимостей нулевого дня в цепочках поставок программного обеспечения. Группа специализируется на целевых атаках на сотрудников блокчейн-индустрии, используя поддельные приложения для видеоконференций и вредоносные расширения для кошельков. Для усложнения атрибуции Lazarus применяет тактику «ротации доменов», ежедневно меняя доменные имена своих командных серверов и маскируя их под легальные сайты.
Эксперты подчеркивают, что атаки этих групп тесно связаны с геополитической обстановкой. Периоды их повышенной активности часто совпадают с ключевыми событиями, такими как совместные военные учения США и Южной Кореи или голосования в ООН по санкциям против КНДР.
Индикаторы компрометации
Domains
- academic-symposium.info
MD5
- a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6
- f6e5d4c3b2a1f0e9d8c7b6a5f4e3d2c1
