Зачем азиатские хакеры маскируется под другие группы и какие методы для этого используют?
Эксперты по кибербезопасности компании Qi An Xin обнаружили вредоносные LNK-файлы, нацеленные на пользователей в Южной Корее. Файлы при запуске распаковывали документы-приманки и VB-скрипты. Одним из таких документов было якобы руководство о том, как проводить проверку безопасности электронной почты.
Первоначально эксперты предположили, что атака исходит от северокорейской группировки APT37, которая ранее неоднократно использовала похожий метод распространения вредоносного ПО. Однако детальный анализ скриптов и адресов управляющих серверов выявил связь злоумышленников с не менее северокорейской группировкой Konni.
Используя в своих атаках LNK-файлы, которые по сути являются обычными ярлыками Windows и в последнее время применяются самыми разными акторами угроз, группа Konni очевидно пытается замаскировать свою активность под действия других хакерских объединений
В рассмотренной исследователями вредоносной кампании скрипты Konni, активируемые через LNK-файлы, выполняли следующие действия:
Анализ обнаруженного вредоносного ПО показал сходство используемых методов с ранее опубликованными образцами, также связанными с Konni. В частности, совпадают способы сокрытия кода, принцип отправки данных на C2-сервер, а также детали технической реализации.
Это указывает на возможную связь Konni с другими восточноазиатскими группировками, такими как APT37 и Kimsuky, которые используют похожие методы сокрытия вредоносного кода внутри LNK-файлов, а также распространяют файлы-приманки для повышения эффективности атак.
Таким образом, анализируемая атака демонстрирует как изменение тактики самой группы Konni, так и тенденцию к сближению методов и обмену наработками между различными APT-группировками азиатского региона.
Чтобы обезопасить себя от подобных атак, эксперты рекомендуют пользователям следовать нескольким базовым правилам:
Обнаруженная активность хакерской группы Konni свидетельствует о постоянном развитии тактики киберпреступников. Использование социальной инженерии через документы-приманки, распространение вредоносного ПО через LNK-файлы и обмен наработками с другими APT-группами — этот набор приёмов является очень эффективным и опасным.
Хотя основные рекомендации экспертов относительно просты, реальность такова, что всё больше угроз способны обойти защиту рядовых пользователей. Поэтому компаниям нужно активно инвестировать как в технические решения типа антивирусов нового поколения, так и в повышение осведомлённости персонала о различных видах кибератак.
Несистемная защита уже не является достаточной, поэтому необходим по-настоящему комплексный подход.
Спойлер: мы раскрываем их любимые трюки