Северокорейская хакерская группа Kimsuky, известная своими целенаправленными атаками на оборонные, энергетические и дипломатические структуры, сменила приоритеты. На этот раз объектом интереса стали производители лекарственных средств. Специалисты зафиксировали новую вредоносную кампанию, в которой злоумышленники маскируются под официальные документы ERP-систем (класс корпоративных программ для управления ресурсами и планирования). В качестве приманки используется поддельная спецификация на внедрение такой системы от компании "White Life Science" (название вымышленное, но указанное в файле). Атака нацелена на сотрудников фармацевтических организаций - вероятно, чтобы украсть интеллектуальную собственность или получить доступ к коммерческим секретам.
Описание
Для доставки вредоносного кода хакеры применяют файл-ярлык LNK, который внешне неотличим от документа Excel. Файл называется "화이트 생명과학 ERP 사양서.lnk" (в переводе с корейского - "Спецификация ERP White Life Science"). При этом значок ярлыка и его имя имитируют электронную таблицу. Если в системе включено скрытие расширений для зарегистрированных типов файлов (настройка по умолчанию в Windows), жертва видит лишь "...ERP 사양서.xlsx" и без опасений дважды кликает по нему. На самом деле запускается команда PowerShell, встроенная в ярлык. Весь процесс состоит из нескольких этапов, и каждый из них тщательно замаскирован.
На первом шаге PowerShell-скрипт определяет свое местоположение. Если оно совпадает с системными папками (например, System32 или Program Files), то сценарий перенаправляет выполнение в каталог временных файлов "%TEMP%". Затем скрипт находит сам файл LNK по точному размеру - 23 079 байт. Внутри этого LNK, словно в контейнере, скрыты несколько объектов: заготовка Excel-документа (безвредная приманка), XML-файл для планировщика задач, PowerShell-скрипт и JavaScript-код. Все полезные нагрузки закодированы с помощью операции XOR (исключающее ИЛИ) с ключом 0xC7, чтобы обойти сигнатурный анализ антивирусов.
Аналитики обнаружили в ходе разбора, что первым делом скрипт извлекает приманку - настоящий файл Excel с таким же именем, как у ярлыка, только с расширением .xlsx. Он открывается перед пользователем, создавая полную иллюзию легитимного документа. Тем временем в фоне создается скрытая папка "C:\sysconfigs", которая маскируется под системный каталог. Туда сохраняются три компонента: XML-описание задачи, PowerShell-скрипт ("opakib.ps1") и JavaScript-скрипт ("copa08o.js"). После этого через утилиту "schtasks" создается задача с именем "Avast Secure Browser VPS Differential Update Ex" - так злоумышленники маскируют свою активность под легитимное обновление антивирусных баз Avast. Задача выполняется немедленно и запускает JavaScript-оболочку.
JavaScript-файл "copa08o.js" крайне мал - он всего лишь запускает тот самый PowerShell-скрипт. А вот сам "opakib.ps1" - это уже полноценный инструмент для кражи данных и удаленного управления. Он использует облачный сервис Dropbox в качестве канала связи (C2). Сначала скрипт генерирует уникальный идентификатор на основе MAC-адреса компьютера. Затем собирает информацию: домен и имя пользователя, версию операционной системы, публичный IP-адрес (через OpenDNS) и список всех запущенных процессов. IP-адрес и список процессов шифруются с помощью алгоритма RC4 (потоковое шифрование на основе XOR с псевдослучайной последовательностью) и дополнительно кодируются в Base64. Остальные данные передаются открытым текстом.
Собранная информация объединяется в текстовый файл и загружается в Dropbox через API. После этого скрипт пытается скачать с того же облачного хранилища командный BAT-файл, имя которого привязано к идентификатору жертвы. Если файл существует, он выполняется скрыто, а затем переименовывается (добавляется суффикс "_call"), чтобы избежать повторного исполнения. Таким образом, атакующие могут дистанционно выполнять произвольные команды на зараженной машине, получать новые файлы и изменять поведение вредоносной программы.
Особого внимания заслуживает метод распространения. LNK-файлы - один из самых эффективных способов атаки на организации: они легко вкладываются в электронные письма, обходят многие фильтры и заставляют пользователя думать, что он открывает безобидный документ. Эксперты подчеркивают, что кампания имеет все признаки разведывательной, а не вымогательской: нет шифрования файлов или требований выкупа. Вместо этого атака нацелена на долговременное присутствие, сбор данных и выполнение целевых команд.
Последствия успешного взлома могут быть катастрофическими для фармацевтической отрасли. Утечка формул лекарств, данных клинических испытаний, планов производства или контрактов с поставщиками способна нанести многомиллионный ущерб и подорвать конкурентные преимущества. Кроме того, полученный доступ может быть использован для шпионажа в смежных сферах - например, в биотехнологиях или медицинском оборудовании.
Группировка Kimsuky действует как минимум с 2013 года и ранее ассоциировалась с атаками на южнокорейские и американские оборонные объекты. Нынешняя кампания показывает, что хакеры активно расширяют список целей. Использование облачных сервисов (Dropbox) и многоэтапной загрузки значительно усложняет обнаружение вредоносной активности. Даже если один уровень будет заблокирован, остальные могут остаться незамеченными. Специалистам по информационной безопасности рекомендуется обратить внимание на активность "schtasks" с подозрительными именами, а также на необычные обращения к API Dropbox из корпоративной сети. Установка расширения "показать известные расширения файлов" и обязательная проверка вложений перед открытием остаются простыми, но действенными мерами защиты.
Индикаторы компрометации
MD5
- 5c3bf036ab8aadddb2428d27f3917b86
SHA1
- e9c16aa2e322a65fc2621679ca8e7414ebcf89c0
SHA256
- d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166
