Группа хакеров Kimsuky активно развивает семейство вредоносного ПО KimJongRAT, которое используется для целевых атак на южнокорейские организации с 2010-х годов. Согласно последним исследованиям, злоумышленники внедрили новые методы распространения и значительно расширили функциональность шпионских модулей.
Описание
Атака начинается с фишинговых писем, маскирующихся под уведомления от государственных учреждений Южной Кореи. Злоумышленники рассылают сообщения от имени Министерства гендерного равенства и семьи и Национальной налоговой службы, используя социальную инженерию для побуждения жертв к действию. В частности, письма содержат предупреждения о срочной проверке данных, что заставляет пользователей переходить по вредоносным ссылкам.
Новым элементом атаки стало использование двух параллельных веток вредоносного ПО: исполняемого PE-файла и PowerShell-скрипта. Выбор варианта зависит от статуса защитного ПО на компьютере жертвы. Если антивирусная защита отключена, загружается PE-модуль, в противном случае активируется скриптовая версия.
Злоумышленники активно используют публичные сервисы для распространения вредоносного кода. В частности, они размещают нагрузки на GitHub в разделе Releases, где не сохраняется история изменений. Также задействованы облачные хранилища Google Drive для хранения компонентов вредоносного ПО и данных жертв.
Модульная архитектура KimJongRAT демонстрирует сложный подход к сбору информации. Основной модуль sys.dll выполняет анти-виртуализационные проверки и координирует работу дополнительных компонентов. Модуль app64.log специализируется на извлечении мастер-ключей из браузеров на базе Chromium, используя технику внедрения кода в процессы chrome.exe.
Сбор данных осуществляется комплексно: модуль net64.log собирает системную информацию, учетные данные браузеров, данные почтовых клиентов и устанавлиленного программного обеспечения. Особое внимание уделяется криптовалютным кошелькам и финансовой информации. Собранные данные архивируются и передаются на серверы управления.
Для обеспечения устойчивости вредоносное ПО регистрирует автозагрузку в реестре Windows. Коммуникация с сервером управления осуществляется через зашифрованные каналы с использованием XOR и RC4 шифрования. Модуль main64.log реализует функции кейлоггинга и перехвата данных из буфера обмена.
Аналитики отмечают использование злоумышленниками прокси-фишинговых страниц для кражи учетных данных популярных южнокорейских сервисов Nate, Naver и Kakao. Эти страницы действуют как промежуточное звено, перехватывая данные аутентификации при их вводе пользователями.
Специалисты по безопасности обнаружили дополнительные свидетельства связи атак с группой Kimsuky. В частности, использование корейского языка в комментариях кода, настройка кодовой страницы 949 в документах и специфические методы социальной инженерии соответствуют ранее задокументированным операциям этой группы.
Эксперты рекомендуют организациям усилить меры безопасности, включая проверку типов файлов перед выполнением, осторожность при получении неожиданных запросов на дополнительные действия и регулярное обновление систем защиты. Особое внимание следует уделять файлам с двойными расширениями, которые могут маскировать вредоносные LNK-файлы под легитимные документы.
Постоянное развитие KimJongRAT свидетельствует об успешности проводимых атак и необходимости усиления обмена информацией об угрозах между организациями и государственными структурами. Специалисты предупреждают, что атаки будут продолжать эволюционировать, требуя соответствующих контрмер от сообщества безопасности.
Индикаторы компрометации
IPv4
- 103.249.28.34
- 142.11.248.98
- 160.202.160.248
- 183.111.226.13
- 27.102.113.107
- 27.102.113.170
- 27.102.113.20
- 27.102.113.209
- 61.97.243.9
Domains
- cdn.glitch.global
- daumcyd.ddns.net
- natezlx.myvnc.com
- nid-naverbpk.onthewifi.com
URLs
- https://drive.google.com/uc?export=download&id=1_Z9I0D8M31-q7BKp_hs2TuY-kvlQH9D_
- https://drive.google.com/uc?export=download&id=12V4yQfKNkeA1W_FIkCpirhSO3dnA52Ni
- https://drive.google.com/uc?export=download&id=14J3_AavuDYmvlf32nqUQbNwz63Ym9Ph3
- https://drive.google.com/uc?export=download&id=1dWsR1EkV_oxaIrJhXiAmmzvJY8SDgNnu
- https://drive.google.com/uc?export=download&id=1J__fMPHg-imAvg6BTenO0AmZCNa-lOys
- https://drive.google.com/uc?export=download&id=1kFyBMQdmMvhiu3j9-rTjgV2nVeYGr_fZ
- https://drive.google.com/uc?export=download&id=1Mx-A2CPcotb_DDcKmIs9d3DCSjbLwLhM
- https://drive.google.com/uc?export=download&id=1PpxH3N-s87LZVCX7IBvLMpx56ABQ6CGn
- https://drive.google.com/ucexport=download&id=1uhHhgt4EMMhWZr9b94dxll0aphOg7PYi
MD5
- 003ea91e9f52ecfdc3aadb2732e9b54c
- 172dc997ca6022ec8dff0842e4c7b887
- 2e8bf657d0301fb4c61e29f455d9058e
- 5441d8a79411a261546beb1021cb5052
- 66c4e2dd235c4d8d31abaf96e051585e
- 677e77265c7ba52e825fc62023942213
- 76d2cbad8502dce9e70e501c2378d3ff
- 77f131bc8f660f85812c0d2e0da8e77e
- 8b6580e14b8164e28e684d48691ddf4d
- c0ee9a9046d82b294b3bf3bec997fc45
- c69909ea3c131181fa7ae12155bcae17
- d69fbf23e7492618cadc63d171010cd8
- d9ecf148c88bfd9791758b3be1a9f459
- e3a937869322cc4cd765fcbf16d5b9ea
- f000df00a424cefcd8efff48ab167169
