Кибершпионы Kimsuky получили удаленный доступ к конфиденциальным исследованиям Южной Кореи

Кибершпионы Kimsuky получили удаленный доступ к конфиденциальным исследованиям Южной Кореи

Северная Корея нашла метод незаметной кражи интеллектуальной собственности.

image

По данным AhnLab Security Emergency Response Center (ASEC), северокорейская хакерская группа Kimsuky осуществила серию нападений на исследовательские институты в Южной Корее. Главная цель атак – распространение бэкдоров в скомпрометированных системах для дальнейшей кражи информации и выполнения команд.

Цепочка атаки начинается с распространения JSE-файлов (JScript Encoded File), замаскированных под импортные декларации. Файл содержит замаскированные (Base64) скрипты PowerShell, зашифрованные данные и документ-приманку в формате PDF. Этот этап включает в себя открытие PDF-файла в качестве отвлекающего маневра, в то время как скрипт PowerShell в фоновом режиме активирует бэкдор.

Бэкдор, в свою очередь, настроен на сбор сетевой информации и других соответствующих данных (например, имя хоста, имя пользователя, версию операционной системы) и передачу закодированных данных на удаленный сервер. Кроме того, бэкдор способен выполнять команды, запускать дополнительные нагрузки и самоуничтожаться, обеспечивая удаленный доступ к зараженному хосту.

Кроме того, группа использовала подставные URL-адреса для скачивания поддельных ZIP-архивов, маскирующихся под обновления браузера Chrome, и развертывания вредоносного VBScript с Google Drive, используя облачное хранилище для кражи данных и в качестве сервера управления и контроля (Command and Control, C2).

Kimsuky активна с 2012 года и первоначально нацелена на правительственные учреждения Южной Кореи, аналитические центры и экспертов в различных областях. Позже группа расширила свою деятельность, охватив Европу и США. В декабре Министерство финансов США ввело санкции против Kimsuky за сбор разведданных для поддержки стратегических целей Северной Кореи, включая геополитические события, внешнюю политику и дипломатические усилия.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!