От макросов к MSC: хакеры Kimsuky осваивают новую технику шпионажа
Действия Microsoft вынудили Северную Корею использовать системные файлы для атак на Windows.
Специалисты DBAPPSecurity обнаружили, что северокорейская группировка Kimsuky использует в своих атаках MSC-файлы, чтобы избежать обнаружения и выполнить вредоносный код в целевой системе.
MSC-файлы (Microsoft Saved Console) используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов.
При первоначальной загрузке на платформу VirusTotal ни один антивирусный движок не распознал файлы как вредоносные. Техника заражения хакеров, позволяющая выполнять произвольный код, получила название GrimResource.
Специалисты обнаружили аналогичные атаки с использованием MSC-файлов, направленные на пользователей из Китая. MSC-файлы используют XSS-уязвимость в библиотеке apds.dll, что позволяет выполнять произвольный JavaScript-код в контексте mmc.exe
MSC-файл выполняет эти действия, маскируясь под установочный файл популярного китайского переводчика YoudaoDict, который запрашивает выполнение вредоносного кода с удаленного сервера и создаёт задачи для запуска дополнительных вредоносных программ при входе пользователя в систему. В конечном итоге атака приводит к доставке вредоносной нагрузки и удаленному управлению зараженным компьютером.
Анализ показал, что обнаруженные образцы MSC-файлов могут быть связаны с китайской группировкой FaCai, которая была замечена в апреле 2024 года, когда использовала модифицированные версии RAT-трояна Gh0st. Сейчас хакеры активно применяют MSC-файлы. В процессе дальнейшего анализа были обнаружены и другие файлы FaCai, например, поддельные установочные файлы Chrome и документы с данными об образовательной сфере. Все файлы использовали аналогичные техники и инфраструктуру для выполнения вредоносных действий.
DBAPPSecurity предупреждает пользователей не открывать вложения из неизвестных источников. Для проверки подозрительных файлов рекомендуется использовать облачную песочницу, которая позволяет безопасно анализировать файлы в виртуальной среде, предотвращая заражение основной системы. Кроме того, лаборатория рекомендует обновить соответствующие продукты для защиты от новых угроз.
Атака GrimResource появилась после того, как Microsoft по умолчанию отключила макросы в Office в июле 2022 года, из-за чего злоумышленники стали экспериментировать с новыми типами файлов в атаках. С тех пор возросло использование файлов ISO, RAR и LNK во вредоносных кампаниях, и сейчас к этому списку добавились MSC-файлы.