SentinelLabs отслеживает целенаправленную кампанию против информационных служб, а также организаций, поддерживающих правозащитников и перебежчиков в отношении Северной Кореи. Кампания сосредоточена на разведке файлов и получении информации о системе и оборудовании, закладывая основу для последующих точных атак. На основании используемой инфраструктуры, методов доставки и внедрения вредоносного ПО мы с высокой степенью уверенности считаем, что кампания была организована угрозой Kimsuky.
Kimsuky - это предполагаемая северокорейская группа передовых постоянных угроз (APT), известная своими атаками на организации и частных лиц в глобальном масштабе. Действуя по меньшей мере с 2012 года, группа регулярно проводит целевые фишинговые и социально-инженерные кампании для сбора разведданных и получения несанкционированного доступа к конфиденциальной информации, что соответствует интересам правительства Северной Кореи. В последнее время Kimsuky постоянно распространяет пользовательские вредоносные программы в рамках разведывательных кампаний для последующих атак.
Кампания, о которой идет речь в данном сообщении, указывает на переход к использованию варианта вредоносной программы RandomQuery, единственной целью которой является перечисление файлов и утечка информации. Это контрастирует с недавно замеченными вариантами RandomQuery, поддерживающими более широкий набор функций, таких как перехват ключей и выполнение других специализированных вредоносных программ.
Indicators of Compromise
Domains
- cf-health.click
- com-def.asia
- com-hwp.space
- com-in.asia
- com-otp.click
- com-people.click
- com-port.space
- com-pow.click
- com-price.space
- com-view.online
- com-www.click
- db-online.space
- de-file.online
- ko-asia.click
- kr-angry.click
- kr-me.click
SHA1
- 0288140be88bc3156b692db2516e38f1f2e3f494
- 49c70c292a634e822300c57305698b56c6275b1c
- 84398dcd52348eec37738b27af9682a3a1a08492
- 8f2e6719ce0f29c2c6dbabe5a7bda5906a99481c
- 912f875899dd989fbfd64b515060f271546ef94c
- 96d29a2d554b36d6fb7373ae52765850c17b68df