Кибершпионы Северной Кореи атаковали Android-устройства через сервис поиска Google

Атака началась с фишинговых рассылок, в которых злоумышленники выдавали себя за сотрудников налоговой службы Южной Кореи. После компрометации устройств жертв хакеры проводили длительную разведку и сбор информации, в ходе которой получили доступ к учетным записям Google. Именно этот доступ позволил им использовать сервис Find Hub, предназначенный для защиты потерянных или украденных устройств, в деструктивных целях.

Особенностью данной кампании стало сочетание нескольких тактик атаки. Сначала злоумышленники через компрометированные учетные записи KakaoTalk распространяли вредоносные файлы, замаскированные под программы для снятия стресса. Затем, используя полученные учетные данные Google, они отслеживали местоположение жертв через Find Hub и в момент их отсутствия инициировали удаленный сброс устройств к заводским настройкам. Это блокировало получение уведомлений на устройствах жертв и позволяло хакерам беспрепятственно распространять вредоносное ПО через компрометированные аккаунты мессенджера.

Анализ вредоносного ПО показал использование сложных техник избегания обнаружения. Файлы "Stress Clear.msi" содержали подписанный код, что позволяло им обходить базовые защиты. После установки вредоносного ПО создавал задачу в планировщике, для постоянного выполнения скриптов AutoIt, которые, в свою очередь, загружали различные варианты RAT (Remote Access Trojan), включая RemcosRAT и QuasarRAT.

Эксперты подчеркивают, что данная атака демонстрирует эволюцию тактик APT-группировок. Использование легитимных сервисов для деструктивных действий представляет новую угрозу, требующую пересмотра подходов к безопасности. Особенно тревожным является факт использования функции удаленного управления устройствами, которая из защитного инструмента превратилась в инструмент атаки.

Для защиты от подобных угроз специалисты рекомендуют внедрять многофакторную аутентификацию для всех критичных сервисов, регулярно обновлять пароли учетных записей и использовать EDR-решения (Endpoint Detection and Response) для обнаружения аномальной активности. Кроме того, важно ограничивать разрешения для приложений, имеющих доступ к камере и микрофону, а также физически закрывать веб-камеры когда они не используются.

Службам безопасности организаций следует обратить особое внимание на мониторинг необычной активности в учетных записях Google, особенно запросов к сервису Find Hub из необычных местоположений. Также критически важен контроль за запуском MSI-пакетов и скриптов AutoIt, которые активно используются северокорейскими хакерскими группами в своих операциях.

Обнаруженная атака подтверждает, что современные киберугрозы становятся все более изощренными и многогранными. Сочетание социальной инженерии, скрытного вредоносного ПО и злоупотребления легитимными сервисами создает серьезные вызовы для систем безопасности. Только комплексный подход, сочетающий технические меры защиты и повышение осведомленности пользователей, может эффективно противостоять таким угрозам.

IPv4

• 109.234.36.135
• 116.202.99.218
• 192.109.119.113
• 212.118.52.168
• 38.180.148.108
• 62.113.118.157
• 77.246.101.72
• 77.246.108.96
• 89.110.83.245
• 91.107.208.93
• 93.183.93.185
• 94.103.87.212

Domains

• appoitment.dotoit.media
• genuinashop.com
• oldfoxcompany.com
• professionaltutors.net
• sparkwebsolutions.space
• xcellentrenovations.com
• youkhanhdoit.co

MD5

• 048e1698c4b711d1652df4bf4be04f9e
• 09b91626507a62121a4bdb08debb3ed9
• 25e38d618f38b3218c3252cf0d22c969
• 38f8fd9e8d27ae665b3ac0f56492f6c4
• 53aea290d7245ee902a808fd87a6a173
• 56c7b448dbc37aa50eb1c2a6475aca5e
• 5ab26df9c161a6c5f0497fde381d7fca
• 8230af6642f5f1927bbbbc7fd6e5427f
• 8f82226b2f24d470c02f6664f67f23f7
• 99ee7852b8041a540fdb74b3784d0409
• b0eba111b570bb1c93ca1f48557d265b
• ef1a8f66351d03413ed2c7d499ee5164
• f6800836d55d049fe79e3d47d54e1119
• f7363c5cfd6fa24a86e542fcd05283e8