BabyShark: эволюция вредоносной кампании Kimsuky напоминает голливудский триллер
Как VbsEdit помогает хакерам обойти традиционные средства обнаружения вредоносного кода.
Северокорейская хакерская группа Kimsuky продолжает развивать свою активность, используя всё более сложные методы для обхода систем безопасности. С 2018 года вредоносная кампания группы под кодовым названием BabyShark демонстрирует постоянную эволюцию: если раньше злоумышленники применяли HWP и BAT-файлы для распространения вредоносного кода, то теперь они перешли к использованию файлов Microsoft Management Console (MSC) и запуска зловредного кода с помощью программы VbsEdit.
Основная угроза кроется в том, что MSC-файлы, которые обычно используются для системного администрирования, стали инструментом для распространения вредоносного ПО. После запуска такого файла пользователю предлагается нажать кнопку «Открыть», что активирует вредоносные команды через командную строку (CMD). Эти команды загружают вредоносное ПО с удалённых серверов и сохраняют его под видом обычных файлов, например, документов Google.
Особое внимание исследователей из компании Hauri привлёк случай, когда загруженный документ содержал информацию о конкретных северокорейских перебежчиках, что свидетельствует о целенаправленной атаке. Злоумышленники также используют VBS-скрипты, которые после запуска с помощью VbsEdit подключаются к C2-серверам для загрузки и выполнения дополнительных вредоносных программ.
Атаки Kimsuky стали ещё более изощренными благодаря использованию программного обеспечения для разработки скриптов VbsEdit, что позволяет злоумышленникам избежать стандартных средств обнаружения, таких как «wscript.exe» и «cscript.exe». Использование программы VbsEdit для выполнения вредоносного кода затрудняет его обнаружение традиционными антивирусами.
Отдельного внимания заслуживает способ сохранения и выполнения вредоносного ПО. Файлы, скачанные с C2-серверов, маскируются под безобидные XML или VBS-файлы и затем регистрируются в планировщике задач Windows для запуска в строго определённое время. В некоторых случаях загрузка дополнительного вредоносного ПО происходит через зашифрованные команды, что затрудняет их анализ и обнаружение.
С учётом сложности и целенаправленности атак, эксперты по безопасности Hauri настоятельно рекомендуют организациям усилить меры по защите своих систем, особенно обращая внимание на подозрительную активность в планировщике задач и любые несанкционированные изменения в системных файлах.