Аналитический центр AhnLab Security (ASEC) провел анализ атак группы Kimsuky, выявив, что они используют вредоносные программы PebbleDash и RDP Wrapper.
Kimsuky APT
Вредоносная программа использует файлы быстрого доступа (*.LNK) для фишинговых атак, при этом используются названия компаний для ложной идентификации жертв. После запуска файла, запускаются PowerShell или Mshta, которые загружают и выполняют дополнительные вредоносные программы, такие как PebbleDash и RDP Wrapper. Группа Kimsuky также использует прокси-вредоносное ПО, KeyLogger и программы для кражи информации. Прокси-вредоносное ПО позволяет им обходить ограничения и получать доступ к зараженной системе через RDP. Кейлоггеры предназначены для записи нажатий клавиш пользователя, а программы для кражи информации веб-браузера используются для получения учетных данных пользователей.
Группа Kimsuky использует различные имена и пути файлов, включая Programdata\USOShared2\version.ini, для выполнения и распространения вредоносных программ. Они также создали свою собственную версию RDP Wrapper, которая позволяет им контролировать зараженную систему. Чтобы обойти средства защиты, они используют инструменты прокси, такие как MYLPROJECT и LPROXYMUTEX, и кейлоггеры, включая joeLog.txt и jLog.txt. Как часть методов кражи информации веб-браузера, группа Kimsuky использует forceCopy для извлечения ключа из файла Local State и копирования файлов.
Группа Kimsuky постоянно совершает однотипные атаки, используя различные вредоносные программы для захвата контроля над зараженными системами. Их постоянное развитие и использование новых инструментов и методов позволяет им продолжать свою деятельность.
Indicators of Compromise
IPv4
- 216.219.87.41
- 74.50.94.175
MD5
- 04e5f813da28b5975d0b6445f687bc48
- 26d96d40e4c8aed03d80740e1d5a4559
- 2ea71ff410088bbe79f28e7588a6fb47
- 3211ef223177310021e174c928f96bab
- 5565b337bfba78970b73ae65b95f2c4f