В апреле 2026 года специалисты по информационной безопасности зафиксировали серию целенаправленных атак северокорейской группировки Kimsuky на южнокорейские военные структуры и коммерческие предприятия. Злоумышленники применили изощрённые методы социальной инженерии, включая подделку страниц установки программного обеспечения и создание фальшивой страницы конференции Webex на основе реального расписания встреч. Анализ показал, что атакующие внедрили новую трёхстадийную цепочку заражения, которая заменила прежнюю однофайловую архитектуру вредоносного инструмента HttpSpy.
Описание
Группировка Kimsuky известна с 2013 года и традиционно нацелена на Южную Корею. Её отличительная черта - маскировка вредоносных файлов под установщики легитимных продуктов безопасности. На этот раз атака развивалась по двум основным сценариям: подделка страницы установки защитного ПО и имитация сервиса видеоконференций Webex.
В первом случае злоумышленники создали фишинговую страницу, копирующую интерфейс установки программ безопасности южнокорейской B2B-платформы обмена сообщениями. Жертвам предлагалось загрузить "брандмауэр" или "средство защиты клавиатуры". Примечательно, что HTML-код страницы был скопирован с сайта банка Woori с последующей заменой логотипа. Загружаемые файлы astx-setup.exe и nos-setup.exe являлись дропперами, которые при запуске извлекали из зашифрованного RC4-контейнера легитимный установщик и вредоносную DLL-библиотеку.
Второй сценарий оказался ещё более хитроумным. Атакующие создали поддельную страницу входа в конференцию Webex. Отчёт специалистов ENKI Whitehat Threat Research Team детально описывает, что после загрузки страницы пользователь видел интерфейс с размытым фоном реального собрания. Через пять секунд появлялось окно с требованием установить "патч для камеры". Подтверждение запускало загрузку jse-файла, который инициировал цепочку заражения.
Ключевое нововведение - техника, названная исследователями JSONPing. Поддельная страница с помощью JSONP (механизма обхода политики одинакового происхождения через теги script) отправляла запрос на локальный сервер, запущенный вредоносным файлом на компьютере жертвы. Если вредоносная программа уже выполнялась, сервер возвращал код, подтверждающий заражение. В противном случае страница повторно предлагала скачать установщик. Это позволило злоумышленникам в реальном времени проверять успешность атаки.
Структура финальной нагрузки претерпела существенные изменения. Ранее HttpSpy распространялся как единый исполняемый файл. Теперь процесс заражения разделён на три стадии: установщик, загрузчик и основной модуль. Установщик engine.dat (экспортируемая функция spyInster.dll) расшифровывал и записывал на диск файл cacheMon.dat, добавлял в него конфигурацию через альтернативный поток данных NTFS. Для маскировки вредонос добавлял запись в автозагрузку реестра под видом обновления MSEdgeUpdateInstaller. Загрузчик cacheMon.dat (spyLoader.dll) затем расшифровывал финальный модуль HttpSpy и выполнял его в памяти.
Основной модуль HttpSpy представляет собой полнофункциональный инструмент удалённого управления. Он поддерживает выполнение команд оболочки, загрузку и выгрузку файлов частями по 384 килобайта, захват скриншотов в формате BMP, скрытый запуск процессов, инъекцию DLL в чужие процессы и самоудаление с очисткой следов. Все данные передаются на сервер управления через HTTP POST, зашифрованные ключом RC4.
Анализ дополнительных образцов, полученных из фишинговых писем, показал, что та же версия HttpSpy доставлялась через вложения с названиями, имитирующими деловые документы южнокорейских компаний. В одном из файлов метаданные документа содержали имя пользователя jira, совпадающее с путём в базе данных отладчика, обнаруженным в загрузчике из атаки через Webex.
Привязка к группировке Kimsuky подтверждается несколькими факторами. Повторное использование ключей RC4 - ключ #RsfsetraW#@EsfesgsgAJOPj4eml; применялся ранее для расшифровки вредоносного инструмента HttpTroy. Алгоритмы обфускации строк и хеширования API совпадают с методами, документированными в отчётах Gen Digital и "Лаборатории Касперского". Также обнаружено совпадение HTTPS-сертификатов - злоумышленники традиционно используют стандартный сертификат XAMPP с темой "localhost", что является одним из индикаторов их инфраструктуры.
Особый интерес представляет использование поддельной страницы recaptcha.html, загруженной на VirusTotal в ноябре 2025 года. Этот HTML-файл содержал подробные комментарии на корейском языке и код отладки, что указывает на активное применение атакующими больших языковых моделей для генерации фишинговых страниц.
Для специалистов по безопасности ключевым выводом становится необходимость проверки подлинности страниц загрузки программного обеспечения. Легитимные сервисы направляют пользователей на официальные страницы загрузки, а не требуют немедленной установки через всплывающие окна. Дополнительно рекомендуется включить отображение расширений файлов в проводнике Windows - jse-файлы могут маскироваться под PDF-документы, меняя значок на соответствующий.
Разделение вредоносного инструмента на три стадии затрудняет обнаружение традиционными антивирусными решениями, так как каждый компонент по отдельности может не вызывать подозрений. Использование JSONPing в качестве механизма верификации заражения - новая техника, которую следует учитывать в правилах корреляции событий SOC-центров (центров мониторинга информационной безопасности).
Индикаторы компрометации
IPv4
- 157.250.202.123
- 163.245.215.46
- 163.245.221.218
- 27.102.113.106
URLs
- http://hdrgdrfes.chickenkiller.com/index.php
- https://appview.imagetemplate.com/babymetalsave_icon.png
- https://appview.imagetemplate.com/gateless_icon.png
- https://bigfile.crabdance.com/recaptcha.html
- https://conference.birdriver.org/
- https://download.birdriver.org/download.php?id=393156
- https://download.birdriver.org/download.php?id=425623
- https://load.erasecloud.n-e.kr/login.php
- https://load.serverpit.com/fwrite.php
- https://meet1754245389211-9925.webex.com/meet1754245389211-9925/j.php?MTID=mb755b0b9133ae8f9e3608b0b519d6a35
- https://pipeline.embeddedonline.org/check.php?x-csrf-token=babymetalsave
- https://pipeline.embeddedonline.org/check.php?x-csrf-token=gateless
- https://pipeline.embeddedonline.org/download3.php?sessid=54126&user-token=babymetalsave
- https://www.ibizplus.n-e.kr/install.html
MD5
- 00f957b7dafd8d210e717041add02eab
- 00fd7272f9a3044b5f62680d9e576e55
- 02897faac6e41781152f480565e5d572
- 0d07fb6d1a3736ea543ab8364115e435
- 1efaf988fded55cd3b974c66f4ca8f7e
- 3315229011b2fa2b05bd4c7b4fbb58e3
- 3369b911cf3706a2660d2af9b3c35f9a
- 39e091e981d9daab56e680927508bd1f
- 4a476abcf741323b367eda0ec49f8c38
- 50e89a4e50392e4235822e9e92df4c32
- 50f619aaba1d28882022ced135b13a07
- 6d2dfd7ca77530afec000a197d6b8677
- 7b9484d719f39faa71abd90f57525cc8
- 8833a270ddef0f464d5916958b6778e6
- 91d1a7153606dedef92502553962cf67
- 97b4c2e67e5e18b70949690a69820c2a
- 9df5ca76ac085b89c1ddcb3963e9fe97
- a581fdea0970f8a5b6cfec4853c802d7
- a87cd5fd8fe223816005e81e0da70b21
- b4dd4c76d7deef4cf532e240b7f84c9d
- bd8e948a6e61436532cd2ed2b62db3f3
- be31a38bab026f229afd5e3174c363f7
- be978477fe7c179cb9607a6e08a05dff
- bea602695d58cbf25fff058834e36c1d
- c05f074c70a6cacb0e6f05578aab3c9d
- c61a6efe1a169c6c1d8595af3ff0dd74
- c6de1be41dcfbad9cae76c58eae7f5a3
- cc837d2b2af4bd9c1c3faf61cefeb848
- d09c0744273355b6da719fdb62923bed
- dd47c97b44408e0a5ecd8f482fcd0dbc
- ea5f32e1273ec93d43ee09a337fb60e1
- f57a9e973e1cecd6b361467041e464f4
- fcaf03060e34a73fe499b906492d9f13