Эксперты по кибербезопасности выявили новую вредоносную кампанию, связанную с северокорейской хакерской группой Konni. Злоумышленники распространяют троянскую программу, маскирующуюся под аналитический документ о предстоящей экономической политике КНДР. Эта атака демонстрирует продолжающуюся тенденцию использования APT-группами социальной инженерии на актуальные политические темы.
Описание
Вредоносное ПО, условно названное «Государственный отчет о безопасности 2», распространяется через файл ярлыка (LNK). Ярлык содержит сложный скрипт PowerShell, который выполняет многоэтапную процедуру для скрытной доставки полезной нагрузки (payload). Документ-приманка имеет заголовок «Перспективы ожидаемых изменений экономической политики на 9-м съезде Трудовой партии Кореи» и подписан именем бывшего северокорейского перебежчика, что повышает его правдоподобность для целевой аудитории.
Механизм атаки начинается с момента, когда пользователь открывает вредоносный ярлык. Запускается PowerShell с параметрами, скрывающими окно консоли и обходящими политики выполнения. Затем скрипт ищет в определенных папках, включая временный каталог %TEMP%, файл строго определенного размера - 2 116 116 байт. Этот файл выступает в роли контейнера, скрывающего в себе реальные вредоносные компоненты.
Алгоритм извлекает данные из контейнера, находя специальные текстовые маркеры: NCFO, BCFO, SCFO и KCFO. Пространство между этими маркерам содержит три фрагмента данных в шестнадцатеричном формате. Скрипт преобразует эти текстовые строки обратно в бинарные файлы и сохраняет их на диск. В результате создаются три файла: документ "attach.hwp" в папке "C:\Users\Public", а также файлы "heidi.db" и "heidisqls.exe" в каталоге "C:\ProgramData".
Ключевым элементом атаки является техника «отвлечения внимания». Сразу после создания документ "attach.hwp" открывается автоматически. Пока жертва изучает поддельный политический отчет, вредоносная программа "heidisqls.exe" тихо запускается в фоне, используя файл "heidi.db" в качестве аргумента. Это позволяет злоумышленникам выполнить произвольный код на компьютере жертвы, оставаясь незамеченными.
Аналитики отмечают, что выбранный метод доставки и выполнения вредоносного кода имеет сходство с трояном RoKRAT, который ранее также связывали с северокорейскими оперативниками. Использование скрытого PowerShell, контейнерного файла и процедуры извлечения данных указывает на высокий уровень профессионализма группы Konni. Основной целью подобных кампаний обычно является шпионаж и кража конфиденциальных данных.
Инцидент подчеркивает важность соблюдения базовых правил кибергигиены. Специалисты рекомендуют проявлять особую осторожность при получении файлов от непроверенных источников, даже если они выглядят как официальные документы. Кроме того, крайне важно своевременно обновлять операционные системы и антивирусное ПО, а также ограничивать использование мощных инструментов, таких как PowerShell, в корпоративных средах. Обнаруженные индикаторы компрометации (IOC), такие как пути к создаваемым файлам, уже включены в базы данных систем обнаружения вторжений (IDS) для предотвращения будущих атак.
Индикаторы компрометации
MD5
- 6b5d31a3d90b764b78c9cdfac2656d5c
SHA1
- cb5db685f1f88ac1926ca493b13194de0f84d4a2
SHA256
- b3096199a4e7ee7a51147d734fd107e2cf8fac01c4e642c9b35b7185957721b9
