Совместное расследование компаний Hunt.io и Acronis Threat Research Unit выявило ранее не связанные между собой активы операционной инфраструктуры, контролируемой угрозами из КНДР. Аналитики обнаружили активные серверы для размещения инструментов, среды для кражи учетных данных, узлы туннелирования FRP и инфраструктуру, связанную через цифровые сертификаты. Эти находки помогают понять, как различные элементы инфраструктуры северокорейских операторов пересекаются в разных кампаниях, предоставляя защитникам более четкое представление о тактиках, на которые полагаются эти акторы.
Описание
Северокорейские хакеры, такие как Lazarus, Kimsuky и другие подгруппы, остаются одними из самых активных в мире. Они используют взломы для сбора разведданных, получения дохода и долгосрочного доступа к системам. Несмотря на различия в мотивации, группы часто используют общие инструменты, например, для сбора учетных данных, демонстрируют схожие паттерны развертывания инфраструктуры и полагаются на сравнимые методы доставки вредоносных программ. На протяжении многих лет эти акторы следуют устойчивым операционным шаблонам, что делает их деятельность обнаруживаемой даже при эволюции вредоносного ПО. Ключевым методом отслеживания остается анализ оставляемой ими инфраструктуры, поскольку группы часто повторно используют одни и те же серверы и домены в разных кампаниях.
В данном исследовании аналитики использовали данные Hunt.io для анализа нескольких случаев, связанных с КНДР. Процесс отслеживания был сфокусирован на поиске связей через IP-адреса, открытые директории, сертификаты и хеши файлов, что позволило выявить привычки операторов в разных кампаниях. Такой подход показывает, как отдельные инциденты связаны между собой, и подчеркивает стабильность операционного поведения северокорейских угроз.
Операционные паттерны: стабильность инфраструктуры поверх изменчивых угроз
В ходе анализа были выявлены характерные привычки: использование открытых директорий в качестве быстрых узлов для размещения инструментов, повторяющееся развертывание наборов для кражи учетных данных, запуск FRP-туннелей на идентичных портах разных VPS-хостингов и повторное использование сертификатов, связывающих отдельные кластеры с одними и теми же операторами. Эти паттерны остаются стабильными даже при смене вредоносного ПО или приманок.
С точки зрения фреймворка MITRE ATT&CK, обнаруженные инструментарии относятся к тактикам доступа к учетным данным (Credential Access) и развития ресурсов (Resource Development). Активность с FRP соответствует тактике управления командой и контролем (Command and Control), а повторное использование сертификатов отражает выбор инфраструктуры для уклонения от защиты (Defense Evasion) и обеспечения долгосрочного доступа. Когда смотришь на их операции через призму инфраструктуры, а не конкретных вредоносных нагрузок (payload), их рабочий процесс становится гораздо понятнее.
Охота №1: Связывание активности Kimsuky и Lazarus через инфраструктуру
Исследование началось с анализа недавней кампании, где группа Kimsuky использовала фишинговый ZIP-архив с темой VPN-счета для доставки загрузчика и нового бэкдора "HttpTroy". Параллельно Lazarus Group развернула многоэтапную цепочку заражения, кульминацией которой стала улучшенная версия их инструмента удаленного доступа BLINDINGCAN. С помощью Hunt.io аналитики отследили один из IP-адресов (23.27.140[.]49), на котором была обнаружена открытая директория с исполняемым ELF-файлом. Анализ показал, что этот файл ведет себя аналогично бэкдору BADCALL, который ранее использовался Lazarus в атаке на цепочку поставок 3CX. Этот же IP фигурирует в данных разведки как связанный с инфраструктурой Lazarus.
Была обнаружена новая Linux-версия BADCALL. Ключевым отличием стало добавление функции ведения логов в файл "/tmp/sslvpn.log". Это позволяет операторам отслеживать выполнение команд бэкдора с помощью записей, содержащих короткие числовые коды для разных операций. С точки зрения развития угрозы, даже такое небольшое обновление указывает на постоянное улучшение Lazarus своего арсенала для повышения операционной эффективности.
Охота №2: Кластер DeceptiveDevelopment и наборы для кражи учетных данных
Исследование кластера DeceptiveDevelopment, где Lazarus маскировался под обновление для найма от NVIDIA, позволило выявить хеши утилит для восстановления паролей, таких как MailPassView и WebBrowserPassView. Поиск по этим хешам в Hunt.io выявил открытые директории на двух серверах.
Первый сервер (207.254.22[.]248:8800) содержал обширный набор инструментов для кражи учетных данных и эксфильтрации данных общим объемом 112 МБ, включая такие утилиты, как ChromePass.exe и WebBrowserPassView. Данные Hunt.io указывают, что этот IP также использовался как сервер управления и контроля (C2) для фреймворка Mythic в августе 2025 года.
Второй сервер (149.28.139[.]62:8080) предоставлял еще больший набор инструментов объемом свыше 270 МБ, включая полную инфраструктуру трояна Quasar RAT, инструменты для кражи учетных данных и утилиты для передачи файлов. Платформа Hunt.io зафиксировала активность Quasar RAT на этом адресе в конце 2023 года.
Третий узел (154.216.177[.]215) оказался особенно показательным: его открытая директория содержала около 2 ГБ операционных данных, включая тысячи файлов инструментов для наступательной безопасности (например, sqlmap, nmap), шаблоны для сканера Nuclei, инструменты для эскалации привилегий и личные артефакты, что указывает на возможную скомпрометированную рабочую станцию или среду разработки оператора.
Охота №3: Инфраструктура FRP и связь с атакой на 3CX
Анализ публикаций показал устойчивое использование Lazarus инструмента Fast Reverse Proxy (FRP) для туннелирования трафика. Этот паттерн был ярко выражен в атаке на цепочку поставок 3CX в 2023 году. Поиск по хешу конкретного FRP-бинарного файла выявил восемь VPS-хостов, развернутых в основном в азиатском регионе, которые обслуживали идентичный файл на порту 9999. Единообразие конфигурации и бинарного файла на всех узлах указывает на автоматизированный процесс их развертывания, что является характерной операционной привычкой Lazarus для поддержки скрытного управления зараженными системами.
Охота №4: Отслеживание через цифровые сертификаты
Расследование началось с домена secondshop[.]store, связанного с Lazarus. IP-адрес, на который он указывал, имел репутацию высокого риска. Аналитики выполнили pivot (поворот) на основе общего поля субъекта (common_name) в SSL-сертификате этого IP. Запрос в Hunt.io показал 12 IP-адресов, использующих один и тот же сертификат с открытым портом 3389 (RDP), что типично для оперативного доступа Lazarus. Последующая проверка в базе данных вредоносного ПО подтвердила, что 10 из этих IP-адресов напрямую связаны с образцами Lazarus. Оставшиеся два адреса при ручном анализе показали связи с другой северокорейской группой - Bluenoroff (APT38), что указывает на возможное пересечение инфраструктур в рамках более широкой экосистемы угроз КНДР.
Рекомендации для защитников
Исследование выделяет несколько устойчивых сигналов для проактивного обнаружения активности КНДР:
- Открытые директории: Поиск публично доступных директорий, содержащих характерные наборы инструментов (утилиты для кражи паролей, бэкдоры, инструменты для эксфильтрации), может выявить новые узлы инфраструктуры на ранней стадии.
- Повторяющиеся развертывания FRP: Мониторинг порта 9999 на VPS-хостах, особенно в определенных регионах, на предмет идентичных FRP-бинарных файлов может помочь обнаружить прокси-инфраструктуру.
- Повторное использование сертификатов: Отслеживание IP-адресов, использующих одинаковые или похожие поля в SSL-сертификатах, особенно в сочетании с открытыми портами RDP или TLS, может раскрыть целые кластеры инфраструктуры.
- Исторические данные по хостинг-провайдерам: Внимание к повторяющимся комбинациям VPS-провайдеров, паттернов сертификатов и типов экспозиции портов помогает прогнозировать появление новых узлов.
Заключение
Четыре расследования выявили общую картину: северокорейские операторы, несмотря на смену вредоносного ПО, демонстрируют высокую стабильность в методах управления своей инфраструктурой. Одинаковые конфигурации FRP, типовые наборы инструментов в открытых директориях, повторное использование сертификатов и приверженность определенным хостинг-провайдерам создают предсказуемый цифровой след. Для специалистов по безопасности фокусирование на этих инфраструктурных паттернах, а не только на конечных вредоносных нагрузках, предоставляет возможность для более раннего и эффективного обнаружения угроз, исходящих от одной из самых активных и изощренных киберпреступных группировок в мире.
Индикаторы компрометации
IPv4
- 104.168.151.116
- 104.168.198.145
- 142.11.209.109
- 192.119.116.231
- 192.236.146.20
- 192.236.146.22
- 192.236.176.164
- 192.236.233.162
- 192.236.233.165
- 192.236.236.100
- 23.254.128.114
- 23.254.164.50
- 23.254.211.230
- 23.27.177.183
IPv4 Port Combinations
- 118.123.54.71:9999
- 119.6.121.143:9999
- 119.6.56.194:9999
- 125.65.88.195:9999
- 125.67.171.158:9999
- 149.28.139.62:8080
- 154.216.177.215:8080
- 182.136.120.52:9999
- 182.136.123.102:9999
- 207.254.22.248:8800
- 23.27.140.49:8080
- 61.139.89.11:9999
Domains
- secondshop.store
SHA256
- 24d5dd3006c63d0f46fb33cbc1f576325d4e7e03e3201ff4a3c1ffa604f1b74a
- 36541fad68e79cdedb965b1afcdc45385646611aa72903ddbe9d4d064d7bffb9
- 85045d9898d28c9cdc4ed0ca5d76eceb457d741c5ca84bb753dde1bea980b516
- a3876a2492f3c069c0c2b2f155b4c420d8722aa7781040b17ca27fdd4f2ce6a9
- a5350b1735190a9a275208193836432ed99c54c12c75ba6d7d4cb9838d2e2106
- bc7bd27e94e24a301edb3d3e7fad982225ac59430fc476bda4e1459faa1c1647
- cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a
- ff32bc1c756d560d8a9815db458f438d63b1dcb7e9930ef5b8639a55fa7762c9
