Редкая и информативная утечка данных, приписываемая исполнителю, связанному с Северной Кореей и известному под псевдонимом «Ким» (Kim), предоставила новые сведения о тактике, методах и инфраструктуре группы Kimsuky (также известной как APT43). Инцидент, произошедший 5 сентября 2025 года, обнажил детали целевых операций по краже учетных данных, нацеленных на сети Южной Кореи и Тайваня, с использованием инструментов и инфраструктуры, связанных с Китаем.
Описание
Технический анализ утечки
Утечка данных включает в себя историю команд bash, фишинговые домены, рабочие процессы OCR (оптического распознавания символов), скомпилированные заглушки и доказательства использования руткитов. Оператор активно занимался разработкой вредоносного программного обеспечения с использованием NASM (Netwide Assembler), что указывает на создание пользовательских загрузчиков и инструментов внедрения. Команды OCR применялись для анализа корейских PDF-документов, связанных с инфраструктурой открытых ключей (PKI) и развертыванием VPN, что свидетельствует о попытках извлечения конфигураций для подмены личности и подделки учетных данных.
В материалах утечки также обнаружены журналы управления привилегированным доступом (PAM), показывающие изменения паролей и использование административных учетных записей, таких как oracle, svradmin и app_adm01. Фишинговая инфраструктура включала домены, имитирующие правительственные порталы Южной Кореи, например nid-security[.]com, которые использовались для перехвата учетных данных с помощью техник «злоумышленник в середине» (AiTM). Кроме того, в данных присутствуют доказательства реконнессанса тайваньских правительственных и академических учреждений, а также код Linux-руткита для скрытного управления системами.
Цели и мотивация
Основной целью оператора была кража учетных данных, что подтверждается наличием файлов типа 136백운규001_env.key, которые связаны с южнокорейской инфраструктурой открытых ключей (GPKI). Это позволяло злоумышленнику действовать как инсайдер в доверенных системах. Действия оператора также были направлены на Тайвань, включая сканирование .git-репозиториев и облачных панелей, что указывает на интерес к разработчикам и поставщикам услуг.
Гибридная атрибуция
Данные утечки свидетельствуют о гибридной модели атрибуции: с одной стороны, использование корейского языка и целевых атак на PKI Южной Кореи указывает на северокорейское происхождение, с другой - активное использование китайских платформ, таких как Baidu и Gitee, и инфраструктуры suggests возможную физическую локализацию оператора в Китае. Это соответствует модели, при которой северокорейские операторы работают из приграничных районов Китая для расширения своих возможностей и сокрытия атрибуции.
Разведданные для анализа
Утечка включает индикаторы компрометации (IOC), такие как фишинговые домены (nid-security[.]com, html-load[.]com), IP-адреса для перебора паролей (23.95.213[.]210, 218.92.0[.]210) и внутренние IP-адреса оператора (192.168.130[.]117), которые указывают на использование коммерческих маршрутизаторов и резидентных сред. Это подчеркивает скрытный характер операций и возможность работы из третьих стран.
Заключение
Утечка данных «Ким» предоставляет уникальное представление о методах работы северокорейских хакерских групп, демонстрируя их фокус на краже учетных данных и инфраструктурном шпионаже. Организациям в Южной Корее и Тайване рекомендуется усилить мониторинг аномальной активности, такой как использование инструментов OCR или попытки доступа к PKI, а также обратить внимание на фишинговые домены и нестандартные инструменты разработки в своих сетях.
Индикаторы компрометации
IPv4
- 118.163.30.45
- 122.114.233.77
- 163.29.3.119
- 192.168.0.39
- 192.168.130.117
- 192.168.150.117
- 218.92.0.210
- 23.95.213.210
- 59.125.159.81
Domains
- mofa.go.kr
- webcloud-notice.com
