Аналитики компании Darktrace выявили новую целевую кампанию, связанную с КНДР, направленную против пользователей в Южной Корее. Злоумышленники применяют сложные spear-phishing (целевые фишинговые) приманки на основе JSE-скриптов, чтобы скрытно развернуть на компьютерах жертв туннель Visual Studio Code. Этот легитимный инструмент разработчика обеспечивает им постоянный удаленный доступ, маскируя трафик под доверенное взаимодействие с инфраструктурой Microsoft.
Описание
Кампания начинается с целевой фишинговой рассылки. Жертвы получают файл с расширением JSE (Javascript Encoded), замаскированный под документ в формате Hangul Word Processor (HWPX), широко используемом в Южной Корее. При открытии файла Windows Script Host исполняет встроенный скрипт. Одновременно для отвода глаз пользователю показывается поддельный документ, тематика которого имитирует официальные коммуникации Министерства управления персоналом Южной Кореи. Анализ метаданных указывает, что хакеры позаимствовали реальные документы с государственных сайтов и отредактировали их для большей правдоподобности.
Основная вредоносная нагрузка (payload) скрипта нацелена на скрытую установку функционала для удаленного доступа. Сначала из официальных источников Microsoft загружается легитимный клиент Visual Studio Code. Затем, в фоновом режиме, запускается команда для создания так называемого VS Code Tunnel с именем «bizeugene». Эта легальная функция, предназначенная для удаленной разработки, создает зашифрованное соединение с облачным туннельным сервисом Microsoft.
Для завершения установки туннеля требуется авторизация. Сгенерированный код устройства и имя туннеля логически отправляются на скомпрометированный командный сервер (C2). Интересно, что в этой роли используется взломанный легитимный южнокорейский сайт yespp.co.kr. Получив данные, оператор кампании авторизует подключение через свой аккаунт GitHub. После этого он получает полный интерактивный доступ к системе жертвы через веб-интерфейс или приложение VS Code, включая терминал и файловый менеджер. Это позволяет загружать дополнительные инструменты, выполнять команды и эксфильтрировать данные.
Использование туннелей VS Code в злонамеренных целях стало отмечаться с 2023 года. Данная техника особенно опасна, поскольку позволяет злоумышленникам избегать обнаружения. Весь трафик проходит через доверенную инфраструктуру Microsoft, что затрудняет его выделение на фоне легитимной активности. Кроме того, традиционные средства защиты, ориентированные на сигнатуры известных вредоносных программ, часто пропускают такие атаки. Сами инструменты являются подписанным легальным программным обеспечением и могут быть разрешены в корпоративных средах, особенно среди разработчиков.
Аналитики Darktrace отмечают, что несколько факторов указывают на связь кампании с северокорейскими угрозакторами. К ним относятся тематика поддельных документов, имитирующих южнокорейские госорганы, использование формата HWP, а также общие тактики, техники и процедуры (TTPs), ранее закрепленные за APT-группами (Advanced Persistent Threat, УПГ - устойчивая продвинутая угроза), связанными с КНДР. Хотя окончательная атрибуция на основе одного образца сложна, совокупность признаков увеличивает уверенность в этом выводе.
Данный инцидент наглядно демонстрирует общую тенденцию в киберпреступности - злоупотребление легитимными инструментами и облачными сервисами. Этот подход, часто называемый «живи-за-счет-земли» (Living-off-the-Land), позволяет злоумышленникам достигать скрытности (persistence) и минимизировать следы в системе. Защита от подобных угроз требует смещения фокуса с анализа файлов на мониторинг аномального поведения, анализ сетевого трафика и контекста выполнения процессов, даже если они подписаны доверенными издателями.
Индикаторы компрометации
IPv4
- 115.68.110.73
MD5
- 9fe43e08c8f446554340f972dac8a68c
