Северокорейская хакерская группа Kimsuky была замечена в использовании сложных методов шпионажа, включая эксплуатацию платформ социальных сетей и инструментов управления системами.
Группа использовала поддельные профили в Facebook, чтобы нацелиться на людей, занимающихся вопросами прав человека и безопасности в Северной Корее, взаимодействуя с потенциальными объектами через запросы в друзья и личные сообщения. Эта тактика социальной инженерии направлена на создание доверия и заманивание целей в ловушку, что в конечном итоге приводит к обмену вредоносными ссылками или документами.
Кроме того, Кимсуки использовал файлы Microsoft Management Console (MMC), замаскированные под безобидные документы, для выполнения вредоносных команд на системах жертв. После открытия эти файлы могут позволить злоумышленникам получить контроль над системой или извлечь конфиденциальную информацию, а в конечном итоге - создать командно-контрольный канал (C2) для удаленного управления взломанными системами. Использование социальных сетей, таких как Facebook, для первоначального контакта и развертывание инструментов управления системами для осуществления атак представляет собой значительную эскалацию тактики киберугроз.
Эти методы указывают на переход к более скрытным и социально ориентированным атакам, которые могут обойти обычные меры безопасности. Недавние действия группы Kimsuky свидетельствуют о непрерывной эволюции киберумышленников и необходимости создания надежных систем защиты кибербезопасности, подчеркивая важность повышения бдительности в отношении взаимодействия с социальными сетями и внедрения передовых систем обнаружения угроз для противодействия этим угрозам.
Indicators of Compromise
IPv4
- 5.9.123.217
URLs
- http://beastmodser.club/sil/0304/d.php?na=version.gif
- http://beastmodser.club/sil/0304/VOA_Korea.docx
- http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/d.php?na=battmp
- http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/r.php
- http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/share
- http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/essay/ttt.hta
- http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-maker/kohei/r.php
- http://brandwizer.co.in/green_pad/wp-content/plugins/custom-post-type-marker/ayaka/ttt.hta
- http://dusieme.com/hwp/d.php?na=sched.gif
- http://dusieme.com/js/cic0117/ca.php?na=dot_emsi.gif
- http://dusieme.com/panda/d.php?na=vbtmp
- http://ielsems.com/panda/d.php?na=battmp
- http://ielsems.com/romeo/d.php?na=vbtmp
- http://joongang.site/pprb/sec/d.php?na=battmp
- http://makeoversalon.net.in/wp-content/plugins/wp-custom-taxonomy-image/iiri/share.docx
- http://mitmail.tech/gorgon/ca.php?na=vbs.gif
- http://mitmail.tech/gorgon/ca.php?na=video.gif
- http://nuclearpolicy101.org/wp-admin/includes/0421/d.php?na=vbtmp
- http://nuclearpolicy101.org/wp-admin/includes/0603/d.php?na=battmp
- http://nuclearpolicy101.org/wp-admin/includes/lee/leeplug/cow.php
- http://rapportdown.lol/rapport/com/ca.php?na=video.gif
- http://rfa.ink/bio/d.php?na=battmp
- http://rfa.ink/bio/d.php?na=vbtmp
- http://worldinfocontact.club/111/d.php
- http://worldinfocontact.club/111/kfrie/cow.php
MD5
- 1dd007b44034bb3ce127b553873171e5
- 49bac05068a79314e00c28b163889263
- 56fa059cf7dc562ce0346b943e8f58bb
- 75ec9f68a5b62705c115db5119a78134
- 7ca1a603a7440f1031c666afbe44afc8
- a12757387f178a0ec092fb5360e4f473
- aa8bd550de4f4dee6ab0bfca82848d44
- b5080c0d123ce430f1e28c370a0fa18b
- e86a24d9f3a42bbb8edc0ca1f8b3715c