Kimsuky обновляет арсенал: группировка использует новые версии вредоносного ПО и легитимные инструменты для скрытного доступа

Главная новость заключается в том, что Kimsuky активно применяет технику "жизни за счёт земли" (living off the land), когда злоумышленники используют штатные средства операционной системы или легитимные приложения для выполнения своих задач. Такой подход затрудняет работу систем обнаружения вторжений (IDS) и классических антивирусных решений. Вместо того чтобы внедрять собственный вредоносный код с сетевыми сигнатурами, хакеры пользуются возможностями обычных программ.

MemLoad: эволюция загрузчика

Начнём с ключевого компонента - загрузчика MemLoad. Его новая версия, известная как V3, претерпела незначительные изменения по сравнению с предыдущей. Как [сообщили] исследователи Gen Digital, основная задача MemLoad - скрыть финальную вредоносную нагрузку от антивирусных средств и оценить ценность скомпрометированной системы.

При запуске MemLoad создаёт файл-флаг со случайным именем и расширением ".dat.cfg". Затем он генерирует идентификатор системы, проверяя, запущен ли процесс с правами администратора. Если да, к идентификатору добавляется префикс "A-" (от англ. administrator), в противном случае - "U-" (user). Для закрепления в системе загрузчик создаёт задание в планировщике Windows. Если процесс имеет повышенные привилегии, задание называется ChromeCheck и выполняется с максимальными правами. Если нет - EdgeCheck и запускается от имени текущего пользователя. Команда использует regsvr32 для загрузки самого загрузчика как библиотеки DLL, что является известной техникой обхода контроля учётных записей.

После закрепления MemLoad обращается к серверу управления (C2), передавая сгенерированный идентификатор в заголовке авторизации. В ответ он получает зашифрованную полезную нагрузку, расшифровывает её с помощью алгоритма RC4 с фиксированным ключом и загружает непосредственно в память процесса - без записи на диск. Эта методика называется отражающей загрузкой (reflective loading) и позволяет избежать детектирования файловыми антивирусами.

Финальная нагрузка после расшифровки - бэкдор httpTroy. Он предназначен для долгосрочного доступа и кражи данных. httpTroy использует альтернативные потоки данных NTFS (ADS), чтобы хранить файл-флаг невидимо для обычного просмотра. Он связывается с сервером управления по адресу hxxps://file.bigcloud.n-e[.]kr/index.php.

AppleSeed: диверсификация и кража сертификатов

Другой компонент - AppleSeed - используется группировкой с 2019 года. К настоящему моменту его версия 2.1 получила важное дополнение: способность извлекать содержимое папки C:\GPKI. Эта папка содержит цифровые сертификаты, которые южнокорейское правительство использует для аутентификации государственных служащих и государственных информационных систем. Кража таких сертификатов даёт злоумышленникам возможность выдавать себя за официальные лица.

AppleSeed распространяется в основном через JSE-дропперы (файлы JScript Encoded). После запуска вредоносная программа может работать в двух режимах: дроппер (для загрузки дополнительных модулей) и шпион (для сбора документов, скриншотов, нажатий клавиш и списков USB-накопителей). По оценкам экспертов, на базе AppleSeed также создан более продвинутый бэкдор HappyDoor, который использует те же алгоритмы обфускации строк и шифрование RSA.

VSCode Tunnel: новый канал для скрытого доступа

Особого внимания заслуживает техника использования Visual Studio Code Remote Tunneling. Kimsuky внедряет JSE-дроппер, который скачивает официальный интерфейс командной строки VSCode (CLI) на атакованное устройство. Затем скрипт создаёт туннель к удалённому серверу Microsoft, используя учётную запись GitHub. Весь трафик проходит через легитимные серверы Microsoft, что делает его практически неотличимым от обычной активности разработчика.

Процесс автоматизирован: скрипт подаёт команды в стандартный ввод, отвечая на запросы аутентификации. Он отслеживает появление URL туннеля в выводе консоли и отправляет его на скомпрометированный южнокорейский сайт. После того как туннель создан, злоумышленник подключается к нему со своей учётной записью GitHub через браузер или VSCode. Такой канал устойчив к блокировке, так как использует инфраструктуру Microsoft.

Исследователи обнаружили две версии установщика туннеля: на JScript и на Go. Вторая версия более автономна, она может обрабатывать несколько устройств и отправляет уведомления в Slack через веб-хук с сообщениями "+++ I am started +++" и "~~~ I am alive ~~~" каждую секунду во время аутентификации.

DWAgent: инструмент для удалённого управления

Помимо собственных разработок, Kimsuky использует легитимное средство удалённого администрирования DWAgent. Вредоносная программа доставляется либо в виде сжатого архива вместе с командой на запуск, либо через специальный установщик. Установщик похож на другой дроппер - Reger Dropper, использует тот же ключ RC4 и такую же структуру кода. Он извлекает из архива предварительно сконфигурированный DWAgent, который сразу же регистрируется как служба Windows и соединяется с серверами ретрансляции dwservice.net. Файл конфигурации включает три узла, пароль в зашифрованном виде и ключ для доступа к устройству. После запуска злоумышленник получает полный контроль над атакованным компьютером.

Инфраструктура и цели

Группировка десятилетиями использует южнокорейский бесплатный сервис доменов 내도메인.한국 (naedomain.hankook) для создания адресов серверов управления. Это позволяет ей выглядеть максимально легитимно. Кроме того, Kimsuky активно применяет туннельные сервисы Cloudflare Quick Tunnels, Ngrok и собственно VSCode Tunneling, чтобы скрыть реальную инфраструктуру.

Жертвами становятся организации оборонного, государственного, медицинского, машиностроительного и энергетического секторов в Южной Корее. При этом кластер AppleSeed больше нацелен на правительственные учреждения, а PebbleDash - на оборонную промышленность по всему миру. В файлах, украденных через хранилище Dropbox, специалисты нашли пометки на корейском языке, указывающие, что злоумышленники ведут ручной учёт жертв - "장악" (захвачено), "있음" (существует). Это говорит о том, что атаки координируются людьми.

Выводы

То, что Kimsuky использует одновременно и собственные разработки (MemLoad, AppleSeed, HappyDoor), и легитимные инструменты (VSCode, DWAgent), свидетельствует о высоком уровне организации и гибкости. Группировка сохраняет доступ к исходным кодам своих вредоносных программ и постоянно их адаптирует. Особую тревогу вызывает способность красть правительственные сертификаты GPKI и использовать туннели для незаметного доступа. Для специалистов по информационной безопасности это означает, что традиционные методы выявления угроз по сетевым сигнатурам становятся всё менее эффективными. Необходимо внедрять поведенческий анализ, контролировать использование легитимных средств удалённого доступа и тщательнее проверять процессы, запущенные через планировщик задач.

Domains

• attach.docucloud.o-r.kr
• cms.spaceyou.o-r.kr
• erp.spaceme.p-e.kr
• female-disorder-beta-metropolitan.trycloudflare.com
• file.bigcloud.n-e.kr
• load.auraria.org
• load.erasecloud.n-e.kr
• load.ssangyongcne.o-r.kr
• load.supershop.o-r.kr
• load.yju.o-r.kr
• morames.r-e.kr
• opedromos1.r-e.kr

URLs

• http://newjo-imd.com/common/include/library/default.php
• https://www.pyrotech.co.kr/common/include/tech/default.php
• https://www.yespp.co.kr/common/include/code/out.php

MD5

• 08160acf08fccecde7b34090db18b321
• 52f1ff082e981cbdfd1f045c6021c63f
• 58ac2f65e335922be3f60e57099dc8a3
• 5c373c2116ab4a615e622f577e22e9be
• 65fc9f06de5603e2c1af9b4f288bb22c
• 678fb1a87af525c33ba2492552d5c0e2
• 7e0825019d0de0c1c4a1673f94043ddb
• 8983ffa6da23e0b99ccc58c17b9788c7
• 8e15c4d4f71bdd9dbc48cd2cabc87806
• 94faed9af49c98a89c8acc55e97276c9
• 995a0a49ae4b244928b3f67e2bfd7a6e
• 9ca5f93a732f404bbb2cee848f5bbda0
• 9fe43e08c8f446554340f972dac8a68c
• a7f0a18ac87e982d6f32f7a715e12532
• c19aeaedbbfc4e029f7e9bdface495b9
• c42ae004badddd3017adadbdd1421e00
• d1ec20144c83bba921243e72c517da5e
• f4465403f9693939fe9c439f0ab33610
• f73ba062116ea9f37d072aa41c7f5108