Kimsuky: Тройная угроза в соцсетях и мессенджерах нацелена на корейские организации

Операция началась с тщательной разведки через фейковые аккаунты в Facebook*. Под видом исследователей церковных миссий или выпускников Военно-воздушной академии Кореи злоумышленники вступали в переписку с целями, интересовавшимися помощью северокорейским перебежчикам. Им предлагали «документы о волонтерской деятельности», которые на деле являлись запароленными архивами EGG - корейским форматом сжатия, редко проверяемым антивирусами. Если жертва проявляла интерес, атака переходила на новый уровень: через Messenger запрашивали email, а затем отправляли «уточняющие материалы» уже письмом. Финал схемы - переход в Telegram, где диалог казался максимально доверительным.

Вредоносная нагрузка демонстрирует хирургическую точность. Файл «탈북민지원봉사활동.jse» (Поддержка перебежчиков.jse) при запуске создает две сущности: безобидный PDF-документ для отвлечения внимания и DLL-библиотеку vmZMXSx.eNwm. Последняя, защищенная упаковщиком VMProtect, расшифровывает себя в памяти, проверяет параметры запуска и внедряет основную полезную нагрузку - tripservice.dll. Этот модуль действует как полноценный RAT (Remote Access Trojan): собирает системные данные, шифрует их гибридным методом (RSA + RC4), маскирует под PDF и отправляет на сервер woana.n-e[.]kr. Для устойчивости в реестр добавляется автозагрузка через regsvr32.exe, а следы удаляются batch-скриптами.

Почему это опасно?

1. Мультиплатформенность: Атака охватывает три канала (Facebook → Email → Telegram), что затрудняет отслеживание.
2. Локализация: Использование корейских форматов (EGG), рекомендаций по установке Bandizip и языковых нюансов (с намеренными опечатками) снижает подозрительность.
3. Адаптивность: В 2024 году аналогичные схемы применялись через LinkedIn под видом военных исследователей.
4. Стелс-технологии: Двойное Base64-кодирование, запуск через легитимные процессы (PowerShell, regsvr32), динамическая расшифровка в памяти обходят сигнатурные системы.

AppleSeed - лишь один инструмент в арсенале Kimsuky. С 2019 года группа использовала его в атаках на ВПК, криптобиржи и фармкомпании. Анализ PDB-путей (Program Database) в ранних версиях (Utopia_v0.1/0.2) подтверждает преемственность: строки «AppleSeed.pdb» встречаются в образцах 2019-2020 гг. Совпадения найдены и в скриптах: JSE-файлы из атак 2024-2025 гг. идентичны по структуре, что указывает на автоматизированную генерацию.

Тройная комбо-атака Kimsuky - напоминание: APT-группы инвестируют в социальную инженерию не меньше, чем в эксплойты. Их цель - не массовое заражение, точечный сбор данных. Традиционные антивирусы бессильны против кастомных шифровальщиков и файлов, собранных «на заказ». Только EDR с поведенческим анализом и Threat Hunting обеспечивают видимость таких угроз. Как отмечают в GSC, в апреле 2025 их система заблокировала AppleSeed на этапе запуска JSE-скрипта, доказав эффективность проактивного подхода.

Кибербезопасность начинается с осознания: даже PDF о «благотворительности» может оказаться трояном. Доверие - роскошь, которую нельзя позволить себе в цифровую эпоху.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

Domains

• afcafe.kro.kr
• dirwear.000webhostapp.com
• download.uberlingen.com
• hyper.cadorg.p-e.kr
• jieun.dothome.co.kr
• nauji.n-e.kr
• nocamoto.o-r.kr
• nomera.n-e.kr
• onsungtong.n-e.kr
• peras1.n-e.kr
• update.screawear.ga
• vamboo.n-e.kr
• woana.n-e.kr

MD5

• 07015af18cf8561866bc5b07e6f70d9a
• 1ae2e46aac55e7f92c72b56b387bc945
• 2a388f3428a6d44a66f5cb0b210379a0
• 2f6fe22be1ed2a6ba42689747c9e18a0
• 30741e7e4cdd8ba9d3d074c42deac9b1
• 46fd22acea614407bf11d92eb6736dc7
• 537806c02659a12c5b21efa51b2322c1
• 568f7628e6b7bb7106a1a82aebfd348d
• 5a223c70b65c4d74fea98ba39bf5d127
• 7756b4230adfa16e18142d1dbe6934af
• 779f2f4839b9be4f0b8c96f117181334
• 7a0c0a4c550a95809e93ab7e6bdcc290
• 8346d90508b5d41d151b7098c7a3e868
• afadab22f770956712e9c47460911dad
• b128c5db5d973be60f39862ba8bfb152
• b9c2111c753b09e4cc9d497f8fd314fc
• bfb02dee62c38c3385df92b308499b31
• ca3926dc6c4b2a71832a03fba366cbcd
• ec9dcef04c5c89d6107d23b0668cc1c1
• f14f332d4273de04ba77e38fd3dcff90
• f4d59b1246e861a2a626cb56c55651f0
• f960ce07c519d1e64a46c7f573eac39b
• fb3c652e795f08cc2529ed33ec1dc114
• fe8626e7c3f47a048c9f6c13c88a9463