Северокорейская хакерская группа Kimsuky разработала новый метод целевых атак через компании по обработке свадебных фотографий. Согласно техническому анализу, злоумышленники сначала компрометируют фотостудии, а затем используют украденные свадебные снимки клиентов для распространения вредоносного ПО.
Описание
Эксперты по кибербезопасности обнаружили сложную цепочку атак, начинающуюся с файла под названием "1740489988221-19.jse". Данный сценарий использует JScript на основе WScript и применяет многоэтапный процесс для скрытного развертывания вредоносной нагрузки (payload). Интересно, что злоумышленники используют легитимные системные утилиты, что затрудняет обнаружение.
На первом этапе скрипт расшифровывает Base64-кодированные данные в файл "1740489988221-19.jpg", который отображается жертве как обычное свадебное фото. Однако одновременно создается второй файл "axgvhr9.eq6W", содержащий дополнительную закодированную нагрузку. Затем злоумышленники используют системную утилиту certutil для декодирования этого файла в конечную вредоносную компоненту "h7mCrlk.kGkT".
Особенностью данной атаки является применение техники Living-off-the-land (LOLBin), когда злоумышленники используют легитимные системные инструменты вместо специально созданного вредоносного кода. Это значительно усложняет обнаружение традиционными средствами защиты. PowerShell выполняется со скрытым окном, что дополнительно маскирует деятельность злоумышленников.
Финальный этап атаки включает использование regsvr32.exe для загрузки декодированной вредоносной библиотеки. Параметры "/s /n /i" обеспечивают скрытное выполнение без вывода диалоговых окон. Эксперты отмечают, что такой подход позволяет обойти многие системы безопасности, поскольку regsvr32 является доверенным системным компонентом.
Метаданные EXIF из используемых изображений указывают на то, что фотографии были сделаны 17 ноября 2024 года камерой Sony ILCE-7M4/ILCE-7M4K. Это свидетельствует о том, что злоумышленники получили доступ к реальным свадебным фотографиям, возможно, через взломанные фотостудии.
Данная кампания демонстрирует рост целевых атак через цепочки поставок, когда злоумышленники компрометируют доверенных посредников для доступа к конечным жертвам. Kimsuky исторически специализируется на сборе разведданных, и новая тактика позволяет группе потенциально получать доступ к устройствам частных лиц под видом легитимных свадебных материалов.
Специалисты по кибербезопасности рекомендуют проявлять особую осторожность при получении файлов от фотостудий, даже если они выглядят подлинными. Важно использовать современные антивирусные решения и регулярно обновлять системы безопасности. Организациям, работающим с персональными данными клиентов, следует усилить меры защиты от утечек информации.
Атака демонстрирует продолжающуюся эволюцию методов северокорейских хакерских групп, которые постоянно адаптируют свои подходы к обходу систем защиты. Использование доверенных отношений между клиентами и фотостудиями представляет особую опасность, поскольку снижает уровень подозрительности у потенциальных жертв.
Индикаторы компрометации
MD5
- 089ae8b91642bc246bb0420cc811c5f3
SHA1
- ed6af55654c09b9d0707b43cb9b2e58721177b1e
SHA256
- 5178c640e7694464b73155e0a0fc2493041c48397f3d4e705b79669bced397db
