Kimsuky: Тройная угроза в соцсетях и мессенджерах нацелена на корейские организации

APT

Группа хакеров Kimsuky, связанная с Северной Кореей, развернула изощренную многоступенчатую кампанию против южнокорейских активистов, военных и оборонных организаций. С марта по апрель 2025 года злоумышленники использовали комбинированную тактику, сочетающую соцсети, электронную почту и мессенджеры, чтобы внедрить шпионские программы серии AppleSeed. Эксперты Genians Security Center (GSC), проанализировавшие атаку, подтвердили: методы Kimsuky эволюционируют, становясь сложнее для обнаружения.

Описание

Операция началась с тщательной разведки через фейковые аккаунты в Facebook*. Под видом исследователей церковных миссий или выпускников Военно-воздушной академии Кореи злоумышленники вступали в переписку с целями, интересовавшимися помощью северокорейским перебежчикам. Им предлагали «документы о волонтерской деятельности», которые на деле являлись запароленными архивами EGG - корейским форматом сжатия, редко проверяемым антивирусами. Если жертва проявляла интерес, атака переходила на новый уровень: через Messenger запрашивали email, а затем отправляли «уточняющие материалы» уже письмом. Финал схемы - переход в Telegram, где диалог казался максимально доверительным.

Вредоносная нагрузка демонстрирует хирургическую точность. Файл «탈북민지원봉사활동.jse» (Поддержка перебежчиков.jse) при запуске создает две сущности: безобидный PDF-документ для отвлечения внимания и DLL-библиотеку vmZMXSx.eNwm. Последняя, защищенная упаковщиком VMProtect, расшифровывает себя в памяти, проверяет параметры запуска и внедряет основную полезную нагрузку - tripservice.dll. Этот модуль действует как полноценный RAT (Remote Access Trojan): собирает системные данные, шифрует их гибридным методом (RSA + RC4), маскирует под PDF и отправляет на сервер woana.n-e[.]kr. Для устойчивости в реестр добавляется автозагрузка через regsvr32.exe, а следы удаляются batch-скриптами.

Почему это опасно?

  1. Мультиплатформенность: Атака охватывает три канала (Facebook → Email → Telegram), что затрудняет отслеживание.
  2. Локализация: Использование корейских форматов (EGG), рекомендаций по установке Bandizip и языковых нюансов (с намеренными опечатками) снижает подозрительность.
  3. Адаптивность: В 2024 году аналогичные схемы применялись через LinkedIn под видом военных исследователей.
  4. Стелс-технологии: Двойное Base64-кодирование, запуск через легитимные процессы (PowerShell, regsvr32), динамическая расшифровка в памяти обходят сигнатурные системы.

AppleSeed - лишь один инструмент в арсенале Kimsuky. С 2019 года группа использовала его в атаках на ВПК, криптобиржи и фармкомпании. Анализ PDB-путей (Program Database) в ранних версиях (Utopia_v0.1/0.2) подтверждает преемственность: строки «AppleSeed.pdb» встречаются в образцах 2019-2020 гг. Совпадения найдены и в скриптах: JSE-файлы из атак 2024-2025 гг. идентичны по структуре, что указывает на автоматизированную генерацию.

Тройная комбо-атака Kimsuky - напоминание: APT-группы инвестируют в социальную инженерию не меньше, чем в эксплойты. Их цель - не массовое заражение, точечный сбор данных. Традиционные антивирусы бессильны против кастомных шифровальщиков и файлов, собранных «на заказ». Только EDR с поведенческим анализом и Threat Hunting обеспечивают видимость таких угроз. Как отмечают в GSC, в апреле 2025 их система заблокировала AppleSeed на этапе запуска JSE-скрипта, доказав эффективность проактивного подхода.

Кибербезопасность начинается с осознания: даже PDF о «благотворительности» может оказаться трояном. Доверие - роскошь, которую нельзя позволить себе в цифровую эпоху.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

Индикаторы компрометации

Domains

  • afcafe.kro.kr
  • dirwear.000webhostapp.com
  • download.uberlingen.com
  • hyper.cadorg.p-e.kr
  • jieun.dothome.co.kr
  • nauji.n-e.kr
  • nocamoto.o-r.kr
  • nomera.n-e.kr
  • onsungtong.n-e.kr
  • peras1.n-e.kr
  • update.screawear.ga
  • vamboo.n-e.kr
  • woana.n-e.kr

MD5

  • 07015af18cf8561866bc5b07e6f70d9a
  • 1ae2e46aac55e7f92c72b56b387bc945
  • 2a388f3428a6d44a66f5cb0b210379a0
  • 2f6fe22be1ed2a6ba42689747c9e18a0
  • 30741e7e4cdd8ba9d3d074c42deac9b1
  • 46fd22acea614407bf11d92eb6736dc7
  • 537806c02659a12c5b21efa51b2322c1
  • 568f7628e6b7bb7106a1a82aebfd348d
  • 5a223c70b65c4d74fea98ba39bf5d127
  • 7756b4230adfa16e18142d1dbe6934af
  • 779f2f4839b9be4f0b8c96f117181334
  • 7a0c0a4c550a95809e93ab7e6bdcc290
  • 8346d90508b5d41d151b7098c7a3e868
  • afadab22f770956712e9c47460911dad
  • b128c5db5d973be60f39862ba8bfb152
  • b9c2111c753b09e4cc9d497f8fd314fc
  • bfb02dee62c38c3385df92b308499b31
  • ca3926dc6c4b2a71832a03fba366cbcd
  • ec9dcef04c5c89d6107d23b0668cc1c1
  • f14f332d4273de04ba77e38fd3dcff90
  • f4d59b1246e861a2a626cb56c55651f0
  • f960ce07c519d1e64a46c7f573eac39b
  • fb3c652e795f08cc2529ed33ec1dc114
  • fe8626e7c3f47a048c9f6c13c88a9463
Комментарии: 0