Северокорейская группа Kimsuky провела серию фишинговых атак с использованием легитимных облачных сервисов и маскировки под темы резюме, криптовалют и военных мероприятий

Первая кампания нацелена на отделы кадров и медицинские учреждения. Злоумышленники распространяли файлы с расширением .pdf.lnk, которые визуально выглядели как резюме, визитные карточки или страховые документы. При запуске такого ярлыка система извлекала из его конца легитимный PDF-документ, чтобы отвлечь жертву, а в фоне запускался скрипт на PowerShell. Используя стандартный интерпретатор, хакеры отключали контроль учётных записей (UAC) и добавляли свой путь в исключения антивируса Microsoft Defender. Затем в планировщик задач добавлялась задача с именем, имитирующим драйвер Intel, которая каждые пять минут с системными привилегиями загружала и выполняла основную вредоносную нагрузку - троян удалённого управления с сервера nelark[.]icu. Для идентификации каждого заражённого ПК применялся уникальный идентификатор (UID), что позволяло выборочно отправлять команды.

Вторая кампания ориентирована на криптосообщество. Вредоносный файл маскировался под техническую документацию о вымышленном решении "PumpGuard" для блокчейн-платформы Pump.fun на Solana. Отчёт южнокорейских исследователей показывает, что после запуска PowerShell-скрипт скачивал с GitHub настоящий PDF-документ, чтобы усыпить бдительность, а затем собирал данные о системе. Вредоносная нагрузка - инфостилер (программа для кражи информации) - записывал IP-адрес, версию ОС, установленный антивирус, список процессов и другие сведения в текстовый файл, который загружался обратно в репозиторий злоумышленников. Для повторного запуска в планировщик задач добавлялась задача с именем "OneDrive", периодичность - 60 минут. После завершения сбора все следы удалялись: стирались и скрипты, и собранные файлы. Интересно, что каналом управления служил сам GitHub - его репозитории редко блокируются системами фильтрации, так как трафик выглядит как обычная разработка.

Третья кампания имитировала приглашение на международные военные соревнования K-ICTC (Korea International Combat Training Competition). Вредоносный ярлык .pdf.lnk при запуске скачивал с собственного IP-адреса (103.67.196.25) закодированный VBS-скрипт, который, в свою очередь, через WMI активировал PowerShell. Код был сильно обфусцирован: названия переменных состояли из имён животных (tiger, bear, puma). После расшифровки PowerShell запрашивал у системы MAC-адрес сетевой карты и отправлял его на сервер C2 в параметре seed. В ответ приходила персонализированная полезная нагрузка, которая выполнялась в памяти без записи на диск. Планировщик запускался каждые 15 минут для поддержания доступа. Привязка к MAC-адресу означала, что только целевая машина получит активный код - в аналитических песочницах вредоносное поведение не проявлялось.

Четвёртая кампания оказалась наиболее продвинутой. Файлы имели двойное расширение .hwpx.jse, которое в проводнике Windows отображалось как обычный документ HWP (корейский текстовый процессор). Внутри ZIP-архива находились два разных JSE-скрипта. Первый из них через встроенную утилиту certutil декодировал DLL-модуль и загружал его через rundll32. DLL выполнял разведку: собирал информацию об установленном антивирусе, пользователях, процессах, сетевых подключениях, реестре автозагрузки - и отправлял всё на сервер yespp.co.kr. Второй JSE-скрипт загружал с официального CDN Microsoft легитимный исполняемый файл Visual Studio Code (code.exe) и запускал его в режиме туннеля с именем bizeugene. Затем считывал сгенерированный GitHub устройством одноразовый код доступа и отправлял его тому же серверу C2. Атакующий активировал туннель через свой браузер и получал полный удалённый доступ к рабочему столу жертвы так, как если бы использовал официальную возможность VSCode. При этом межсетевые экраны и системы обнаружения вторжений видели только легитимные соединения с серверами Microsoft и GitHub.

Общие тактики, приёмы и процедуры (TTP) всех четырёх кампаний одинаковы. Злоумышленники всегда используют двойные расширения для файлов, начальное отвлечение легитимным документом, штатные компоненты Windows (curl, certutil, rundll32, wscript, schtasks) и доверенные облачные сервисы в качестве каналов управления. Они маскируют задачи планировщика под стандартные процессы (OneDrive, Intel). Обязательно применяется обфускация PowerShell-скриптов и идентификация жертв по UID, IP-адресу или MAC. Столь разнообразный набор приманок - от резюме до военных учений - указывает на глубокую разведку целей и их профессиональную сегментацию.

Kimsuky меняет индикаторы компрометации с каждым письмом, но сохраняет паттерны поведения: создание подозрительных папок в %AppData%, регистрация задач с необычными интервалами, PowerShell без командной строки, вызовы к raw.githubusercontent.com или нестандартные вызовы code.exe. Необходимо выстраивать мониторинг на корреляцию событий: создание процесса LNK или JSE из вложения электронной почты, последующий запуск PowerShell с параметрами загрузки, изменения в планировщике, сетевые соединения к облачным API. Только поведенческий анализ позволяет обнаружить такие цепочки атак на ранней стадии - до того, как злоумышленник получит полный контроль над корпоративной инфраструктурой.

URLs

• http://103.67.196.25/conf.dat
• http://103.67.196.25/payload.dat
• http://103.67.196.25/view1.php?type=apple&seed=
• https://api.github.com/repos/brandonleeodd93-blip/doc7/contents/report/{IP}-{시간}-0956_info.txt
• https://nelark.icu/xftaswx/res/bypass.b
• https://nelark.icu/xftaswx/res/index.php
• https://nelark.icu/xftaswx/res/post_proc.php?fpath=a.ps1
• https://nelark.icu/xftaswx/res/post_proc.php?fpath=bpersist.ps1
• https://nelark.icu/xftaswx/res/post_proc.php?fpath=scheduler-once
• https://raw.githubusercontent.com/brandonleeodd93-blip/doc7/main/1.txt
• https://raw.githubusercontent.com/brandonleeodd93-blip/doc7/main/view.pdf
• https://www.pyrotech.co.kr/common/include/tech/default.php
• https://www.yespp.co.kr/common/include/code/out.php

MD5

• 0331a83b58231cb0cd3bfe319003ed1a
• 08160acf08fccecde7b34090db18b321
• 0dd1cf2d9a72fdbef19e77af59ba9d1f
• 2689f58b803364bbfba2edb423a3b572
• 3fdce08723365d5c06e1183585164118
• 450774df6785e6eeb6ea906490905888
• 471faa43f4811a0250648d586cb3eebf
• 52f1ff082e981cbdfd1f045c6021c63f
• 552ca91696fedd387e1ea47f50f18344
• 5c2857913efc6007b3ee7028a132baa4
• 6869766741b40825e31fd8bbff688bd3
• 80088af673b0117dbd5cf528021dd970
• 806fb7876b63ba89d2432cb831be01ba
• 8301fc2c740f6309864e68b6e429d0f0
• 831d7c614ba32aa5d70ff9b0f259ee1d
• 9fe43e08c8f446554340f972dac8a68c
• a3363e0c22c0356fdbcdc37f502bbcde
• aa9d5dd632bb90addca480eaa5ff4382
• af7330af68a8f79b5a28fcc242e54a7e
• b3c90f52e4b86a94ec637fee4354bb84
• bb5040d54135b0999cc491b41a0a45e2
• bb9e9c893b170b3774c150b1d0b93a73
• c499e415f7e07f513d8319013a8b2e86
• c57a8b40d2ca402656ff3d778f42708c
• cbb059bd691d846e8279d617134d3129