Кибершпионы Kimsuky атакуют через фальшивые уведомления о медосмотре

Эксперты по кибербезопасности обнаружили, что архив ALZ содержит опасный файл "건강검진 안내서.pdf.jse", который имитирует документ PDF, но на самом деле представляет собой скрипт JScript. При запуске скрипт показывает пользователю поддельный документ Национальной службы медицинского страхования, одновременно запуская сложную многостадийную атаку.

Технический анализ показывает, что вредоносная программа использует многоуровневую схему проникновения в систему. Сначала активируется дроппер (dropper, программа-загрузчик) на базе Windows Script Host, который применяет сложные методы обфускации. Затем происходит декодирование полезной нагрузки (payload, вредоносный код) через несколько этапов с использованием легитимных системных утилит.

Особенностью данной атаки является использование сертифицированных системных инструментов Windows для обхода защиты. Злоумышленники применяют PowerShell с параметром -windowstyle hidden для скрытного выполнения и certutil для декодирования base64. Такой подход позволяет минимизировать подозрения со стороны антивирусных решений, поскольку используются доверенные системные процессы.

После успешного проникновения вредоносная программа создает файлы в каталоге C:\ProgramData с случайными расширениями (.a9oc и .lpxQ), что затрудняет их идентификацию. Затем она регистрирует задание в Планировщике заданий Windows для обеспечения персистентности (persistence, постоянного присутствия в системе) с периодичностью выполнения каждый час.

Критически важным аспектом атаки является механизм связи с командным сервером (C2). Вредоносная программа маскирует свой трафик под легитимные запросы браузера Google Chrome версии 79. Для этого используется расшифрованный через сложные вычисления User-Agent, что делает сетевую активность похожей на обычный веб-трафик.

Коммуникация с сервером управления построена на основе шифрования AES-CBC с использованием 128-битного ключа. Такой подход обеспечивает конфиденциальность передаваемых данных и затрудняет анализ сетевого трафика системами обнаружения вторжений (IDS). POST-запросы содержат специально сформированные параметры с базовыми идентификаторами и зашифрованными данными.

Эксперты отмечают, что группа Kimsuky продолжает совершенствовать свои методы атак. В частности, в данном случае используется динамическая загрузка API через хеши FNV-1a, что усложняет статический анализ и противодействует системам защиты конечных точек (EDR).

Для обеспечения постоянного доступа к зараженной системе вредоносная программа использует легитимный инструмент regsvr32.exe с параметром /s для тихой регистрации DLL. Эта техника, известная как "living-off-the-land", позволяет злоумышленникам использовать доверенные системные приложения для вредоносной деятельности.

Кибербезопасность специалисты рекомендуют организациям усилить меры защиты против подобных атак. В частности, следует ограничить выполнение скриптов JScript из почтовых вложений, внедрить строгую фильтрацию электронной почты и обеспечить мониторинг необычной активности, связанной с использованием certutil и PowerShell для декодирования base64.

Данная кампания демонстрирует сохраняющуюся тенденцию северокорейских хакерских групп к использованию социальной инженерии и сложных технических методов для проникновения в целевые системы. Организациям необходимо поддерживать высокий уровень кибергигиены и обучать сотрудников распознаванию фишинговых атак.

MD5

• 903cec93146327414cbc49068c524292
• d02be241dda3d4027f6fbd84ac015ca8

SHA1

• 98d64f96bf6334ea881f2f9cacc5da414dd8da3f
• f752fec87877fdf366dda38313e3f83853eb9d90

SHA256

• 2abff5efd1b8e2a938e2ec4ba105a8e70d1c402a6c31e2a7021c7e3199a72d7a
• 81e384471fcfa6752cb81ca1b7b9ee455cc78f1580d260ed7a11d682a378930e