Группа кибершпионажа Kimsuky, связанная с КНДР, внесла значительные тактические изменения в свою стандартную схему атак с использованием вредоносных файлов ярлыков (LNK). Как сообщили эксперты AhnLab Security Intelligence Center (ASEC), если ранее заражение происходило по относительно прямолинейной цепочке, то теперь злоумышленники внедрили дополнительный, более сложный промежуточный этап выполнения скриптов. Это усложняет детектирование для систем безопасности, сохраняя при этом конечную цель - внедрение на систему Python-бэкдора или загрузчика.
Описание
Ранее схема атаки была довольно простой: вредоносный LNK-файл, маскирующийся под документ, запускал PowerShell-скрипт, который, в свою очередь, загружал и исполнял BAT-файл. Этот файл уже отвечал за скачивание ZIP-архива с полезной нагрузкой - интерпретатором Python, скриптом-бэкдором и файлом планировщика задач в формате XML. Последний регистрировал задание для автоматического запуска вредоносного кода. В новой схеме между PowerShell и конечным BAT-файлом появился дополнительный каскад исполняемых элементов. LNK по-прежнему запускает PowerShell, но теперь он генерирует и исполняет целый набор файлов: легитимный документ-приманку (например, файл формата HWP), XML-файл для планировщика задач, а также скрипты на VBS и PS1. Только после этого выполняется BAT-файл, который завершает процесс загрузки финальной полезной нагрузки.
Ключевое изменение заключается в разделении функций и увеличении количества ступеней. Если раньше BAT-файл был центральным элементом, отвечающим за скачивание и запуск, то теперь его роль размыта между несколькими скриптами. Например, в недавних кампаниях PS1-скрипт (pp.ps1) выполнял функцию сбора информации о системе, используя для её выгрузки легитимный сервис Dropbox в качестве канала командования (C2). Он собирал данные о домене, имени пользователя, запущенных процессах, версии операционной системы, внешнем IP-адресе и установленном антивирусном ПО. Эта информация затем загружалась на контролируемый злоумышленниками аккаунт. Только после этого скрипт загружал и исполнял BAT-файл, который, в свою очередь, собирал из двух частей ZIP-архив с финальным бэкдором.
Финальная полезная нагрузка остаётся прежней - это Python-бэкдор с широким набором функций. Он использует кастомный протокол связи с фиксированным размером пакета и устанавливает соединение с сервером управления. Бэкдор способен выполнять команды командной оболочки, выгружать списки дисков и файлов, закачивать и скачивать файлы, а также запускать исполняемые файлы. Примечательно, что перед удалением файла с диска бэкдор перезаписывает его случайными данными, что усложняет восстановление информации и анализ. В ходе наблюдений эксперты зафиксировали, как операторы бэкдора проверяли свободное место на дисках, изучали сетевые настройки с помощью "ipconfig" и просматривали список запущенных процессов.
Несмотря на изменения в промежуточных этапах, группа Kimsuky сохранила ряд характерных тактических признаков (TTP), что позволило исследователям с уверенностью атрибутировать атаку. Во-первых, для автозапуска используются XML-файлы планировщика задач с именами, начинающимися на "sch_" (например, "sch.db" или "sch_ha.db"). Во-вторых, регистрируемые в системе задания имеют схожие имена, имитирующие легитимные процессы обновления, такие как "GoogleUpdateTaskMachineCGI__{...}". В-третьих, в атаках применяются те же самые файлы-приманки, что и в предыдущих кампаниях группы. Это свидетельствует о том, что, хотя хакеры постоянно модифицируют технические детали для обхода защитных систем, их операционная модель и набор инструментов остаются узнаваемыми.
Эволюция тактики Kimsuky наглядно демонстрирует общий тренд в развитии угроз: усложнение цепочек заражения для повышения скрытности и живучести. Добавление лишних шагов, использование легитимных облачных сервисов для скрытия трафика и применение скриптовых языков вроде Python, который может хуже детектироваться традиционными антивирусными решениями, - всё это направлено на то, чтобы продлить время жизни вредоносного кода в системе. Для специалистов по информационной безопасности этот случай служит напоминанием о важности мониторинга не только конечных исполняемых файлов, но и всей цепочки создания процессов, особенно тех, что инициируются из подозрительных LNK-файлов или ведут к регистрации нестандартных заданий в планировщике. Пользователям же следует проявлять повышенную осторожность при получении любых вложений, даже выглядящих как безобидные документы, особенно если они поступили из непроверенных источников.
Индикаторы компрометации
IPv4
- 45.95.186.232
Domains
- qugesr.online
- racswera.online
- whaincloud.store
- zoommet.site
URLs
- http://whaincloud.store/kk/cc/p-index.php?au=b
- http://whaincloud.store/kk/cc/p-index.php?au=v
- http://whaincloud.store/kk/view/view.php?in=comm
- http://zoommet.site/man/logo.php?au=beauty
- https://qugesr.online/cuckoo_cc/p-index.php?au=baatt
MD5
- 059bb6c439ffedc61d9168c23552202c
- 0633d5f93a5f08a909c039a3f7e90830
- 063faa06c63e4091ff8df4acffeb10be
- 130ce31e1fe7c0aa5fae32d96afff4c6
- 2052261efb1e9d486997fc1795d7d489
