RandomQuery: секретный проект Северной Кореи по шпионажу за правозащитниками

RandomQuery: секретный проект Северной Кореи по шпионажу за правозащитниками

Хакеры APT-группы Kimsuky нацелены на защитников прав предателей Родины.

image

Исследователи кибербезопасности SentinelOne сообщают , что северокорейская APT-группа Kimsuky проводит разведывательную кампанию с помощью пользовательского вредоносного ПО RandomQuery. Кампания направлена ​​​​на информационные службы и организации, поддерживающие активистов-правозащитников и перебежчиков из Северной Кореи.

Обнаруженная операция длится с 5 мая 2023 года и использует вредоносное ПО RandomQuery, специально разработанное для перечисления файлов и эксфильтрации конфиденциальных данных.

Атаки начинаются с фишинговых писем от лица южнокорейского издания Daily NK, освещающего события в Северной Корее, чтобы побудить потенциальных жертв открыть файл Microsoft Compiled HTML Help (CHM). Запуск CHM-файла приводит к выполнению сценария Visual Basic, который с удаленного сервера извлекает полезную нагрузку второго этапа, VBScript-варианты RandomQuery.

Затем вредоносное ПО собирает и отравляет на C2-сервер следующие данные:

  • системные метаданные;
  • информацию о запущенных процессах и установленных приложениях;
  • файлы из разных папок.

Северокорейские хакерские объединения широко известны своими частыми атаками на соседа по полуострову. Так, в апреле мы писали о нападении киберпреступников из КНДР на южнокорейских политиков и госслужащих , а в марте об атаках на ряд государственных и финансовых южнокорейских учреждений.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум