Исследователь угроз из BlackBerry Дмитрий Меликов опубликовал на LinkedIn статью о том, что северокорейская группировка Kimsuky начала кампанию кибершпионажа, направленную против западноевропейского производителя оружия.
Атака началась с фишингового письма, содержащего вредоносный JavaScript-файл, замаскированный под легитимный документ с описанием вакансии от General Dynamics. При открытии файла код JavaScript декодировал два блока данных base64, выполняя в фоновом режиме вредоносную полезную нагрузку. Инструмент шпионажа предоставлял злоумышленнику такие возможности, как утечка информации, захват скриншотов и установление сокетных соединений. Инфраструктура C2 значительно пересекается с известными операциями Kimsuky, что позволяет с высокой степенью уверенности утверждать, что за этой кампанией стоит Kimsuky.
Эта атака подчеркивает растущие риски и потенциальные геополитические последствия кибервойны, направленной на важнейшие военные отрасли, и указывает на необходимость усиления мер кибербезопасности в оборонном секторе. Ожидается, что группа Kimsuky продолжит атаковать военные и аэрокосмические предприятия по всему миру, что потребует постоянной бдительности и мониторинга.
Indicators of Compromise
URLs
- http://download.uberlingen.com/index.PHP
MD5
- 8346d90508b5d41d151b7098c7a3e868
SHA256
- 24a42a912c6ad98ab3910cb1e031edbdf9ed6f452371d5696006c9cf24319147