Вредоносная программа PebbleDash, обнаруженная в 2020 году, была идентифицирована группой Lazarus, но в последнее время она начала распространяться группой Kimsuky.
Описание
Вредоносная программа содержит бэкдор, используемый для удаленного управления компьютером. Процесс атаки начинается с фишинговых атак, где злоумышленники направляют фишинговые письма на конкретных пользователей. Если пользователь открывает прикрепленный к письму файл ярлыка, выполняется JavaScript, который запускает PowerShell и регистрирует планировщик задач, ключи реестра и соединения с серверами Dropbox и C&C-сервером злоумышленников. После этого злоумышленники создают бэкдоры, инструменты удаленного доступа и другие вредоносные программы, в том числе PebbleDash. Для управления зараженным компьютером используются вредоносные программы PebbleDash и AsyncRAT.
Группа Kimsuky также использует различные инструменты для повышения привилегий, основным из которых является UACMe. Однако они также используют другие техники обхода UAC, включая технику "AppInfo ALPC". Эта техника позволяет получить полный доступ к процессу, используя хэндл отладочного объекта. Злоумышленники также модифицируют файл termsrv.dll, который отвечает за проверку лицензии удаленного рабочего стола (RDP). Модифицированный файл отключает проверку лицензии, позволяя любому пользователю устанавливать RDP-соединение с зараженным компьютером.
Вредоносная программа PebbleDash используется группой Kimsuky с 2021 года. В последних версиях программы использовалась техника создания файла advconf2.dll с помощью PowerShell, вместо выполнения файла-документа или через PIF-файл. Злоумышленник использует cmd.exe и reg.exe для регистрации и выполнения advconf2.dll в качестве службы на зараженном компьютере.
Основные цели группы Kimsuky - частные лица, в отличие от группы Lazarus, которая сконцентрирована на учреждениях и организациях. Хотя вредоносная программа PebbleDash ранее относилась к группе Lazarus, она стала широко используемой группой Kimsuky. Вредоносная программа PebbleDash содержит бэкдоры, инструменты удаленного доступа и другие вредоносные программы для контроля зараженных компьютеров. Группа Kimsuky также использует различные инструменты для обхода системы контроля учетных записей (UAC) и увеличения своих привилегий. Они также модифицируют файл termsrv.dll, чтобы позволить устанавливать RDP-соединение для любого пользователя.
Индикаторы компрометации
IPv4
- 159.100.13.216
- 213.145.86.223
- 216.219.87.41
- 64.20.59.148
MD5
- 641593eea5f235e27d7cff27d5b7ca2a
- 70d92e2b00ec6702e17e266b7742bbab
- 876dbd9529f00d708a42f470a21a6f79
- a5cca2b56124e8e9e0371b6f6293e729
- a8976e7dc409525a77b0eef0d0c3c4f2
