Корейская APT-группа Kimsuky развивает фишинговые атаки с использованием Telegram и децентрализованных сетей

Первая волна расследования, опубликованная двумя днями ранее, раскрыла сеть из 740 доменных имен и 98 последовательных субдоменов, нацеленную на корейские правительственные и финансовые институты с применением геофильтрации по IP-адресам. Новая же ячейка, как сообщили аналитики, использует совершенно иную инфраструктуру, техники и имеет другие цели, включая корпоративную электронную почту, платформу для видеоконференций Zoom и корейский портал Naver. Это указывает на параллельную работу нескольких независимых оперативных групп внутри одной крупной кампании, что типично для структуры киберопераций КНДР.

Наиболее примечательной находкой стал Telegram-бот, используемый для эксфильтрации данных в реальном времени. В клиентском JavaScript-коде фишинговой страницы, имитирующей Zoom, в открытом виде был обнаружен токен бота и идентификатор чата. Когда жертва вводит свои учетные данные на поддельной странице, скрипт немедленно отправляет логин, пароль и IP-адрес жертвы этому боту. В результате оператор получает украденные данные прямо на свой телефон практически мгновенно. Наличие такого токена теоретически позволяет защитникам мониторить канал утечки, наблюдать за кражей в процессе и потенциально идентифицировать учетную запись Telegram злоумышленника.

Вторым критически важным артефактом стал сборщик данных, размещенный в децентрализованной файловой системе IPFS. Каждая фишинговая страница, нацеленная на веб-почту или Naver, загружает обфусцированный JavaScript-файл с использованием уникального Content Identifier. IPFS - это распределенная одноранговая сеть для хранения данных, где файл, будучи однажды загруженным, продолжает существовать на всех узлах, которые его запросили. Это делает традиционные процедуры изъятия бессмысленными: нет центрального сервера, которому можно направить запрос, или хостинг-провайдера, которого можно уведомить. Файл сохраняется до тех пор, пока хотя бы один узел в сети его кэширует. Данный выбор инфраструктуры является преднамеренным и изощренным. Сами фишинговые страницы можно удалить с хостинга, но логика сбора учетных данных будет продолжать существовать в IPFS, и её можно будет подключить к любой новой фишинговой странице всего одной строкой кода.

Анализ выявленных кампаний показывает их целенаправленный характер. Например, фишинговые страницы Zoom содержали хардкодированную жертву - китайскую металлургическую компанию Henan Tendeli Metallurgical Materials Co., Ltd. Это указывает на таргетированный фишинг, а не на массовую рассылку. Инфраструктура ячейки также имеет признаки китайского происхождения. На основном сервере был обнаружен сертификат FTP, сгенерированный панелью управления BaoTa в городе Дунгуань провинции Гуандун. Это либо сервер, управляемый из Китая, либо инфраструктура, арендованная у китайского хостинг-провайдера, что является стандартной практикой для северокорейских операторов, активно использующих китайские хостинги и каналы связи.

Обнаруженный открытый каталог на домене linkgrid[.]ink служит репозиторием фишинговых наборов для различных сервисов, включая Roundcube и Rackspace, и работает как минимум с мая 2024 года. Его связь с другими доменами кампании через общую учетную запись Cloudflare указывает на централизованное управление активами. Сравнение двух ячеек показывает их радикальные отличия: первая использовала американский VPS-хостинг и последовательные DDNS-домены, вторая - зарегистрированные домены и хостинг ColoCrossing с китайской панелью управления. Методы эксфильтрации также эволюционировали от классической передачи на сервер к гибридной модели с Telegram и IPFS.

Этот случай наглядно демонстрирует, как продвинутые группы угроз адаптируются к мерам защиты, внедряя устойчивые к изъятию технологии и инструменты мгновенного оповещения. Для специалистов по безопасности это означает необходимость выходить за рамки мониторинга традиционной инфраструктуры и учитывать угрозы, исходящие от децентрализованных сетей и мессенджеров. Обнаружение токена Telegram-бота, хотя и является редкой удачей, открывает окно возможностей для контрразведки и сбора данных о самих операторах.

IPv4

• 172.245.241.100

URLs

• webmail-autho/authb/authblk.gcifa.com
• webmail-autho/authb/authblk.sxgbk.com

Domains

• aabuc.com
• blleads.com
• dlpxjs.com
• gcifa.com
• htmmalufoil.com
• huojianxia.com
• izzgw.com
• linkgrid.ink
• myhscnow.com
• nid-navar.ryship.com
• pidware.com
• protanec.com
• rhetth.com
• rixardos.com
• ryship.com
• spoint-share.pidware.com
• sxgbk.com
• wwrnet.com
• xonbu.com
• zoom-meeting.izzgw.com
• zoom-meeting.myhscnow.com

SHA256

• 2ed21819cb409f2b4189b4d1625e42eff6a09bb359912443395626ba95902f19