Киберпреступники сначала убеждаются в том, что атакуют правильную жертву.
Согласно новому отчету Лаборатории Касперского, северокорейская APT-группа Kimsuky проводит кампанию против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников.
Лаборатория Касперского ранее присвоила бэкдору группы название GoldDragon, а цепочки заражения привели к развертыванию вредоносных программ для Windows, предназначенных для сбора файлов, нажатий клавиш и кражи учетных данных для входа в веб-браузер.
В обнаруженной кампании Kimsuky использует фишинговые сообщения, содержащие документ Word с макросами, который предположительно содержат контент, связанный с геополитическими проблемами в регионе.
Группа использует преимущества файлов HTML-Application (HTA) и Compiled HTML Help (CHM) в качестве приманки для компрометации системы.
Независимо от используемого метода, после первоначального доступа происходит внедрение сценария Visual Basic Script с удаленного сервера, предназначенного для снятия цифрового отпечатка машины жертвы и извлечения дополнительных полезных данных, включая исполняемый файл для извлечения конфиденциальной информации.
Кампания содержит также новый метод атаки. Если получатель щелкнет ссылку в электронном письме для загрузки дополнительных документов, то его email-адрес передается на сервер управления и контроля (C&C). Если запрос не содержит ожидаемого email-адреса, то жертве открывается для скачивания легитимный незараженный документ.
Чтобы еще больше усложнить цепочку заражений, первый C&C-сервер перенаправляет IP-адрес жертвы на другой VBS-сервер, который затем сравнивает его со входящим запросом, который генерируется после открытия жертвой документа-приманки. «Проверка жертвы» на двух C&C-серверах гарантирует, что VBScript доставляется только после успешной проверки IP-адреса, что указывает на узконаправленную атаку.
По словам Лаборатории Касперского, группа Kimsuky постоянно развивает свои схемы заражения вредоносным ПО и внедряет новые методы, чтобы затруднить анализ. Основная трудность в отслеживании этой группы заключается в том, что сложно определить полную цепочку заражения.
Гравитация научных фактов сильнее, чем вы думаете