Обнаружено новое шпионское ПО, используемое северокорейскими хакерами из Kimsuky
3 ноября 2020 года
Исследователи безопасности из компании Cybereason рассказали о новом вредоносном ПО, которое использовала северокорейская группировка Kimsuky (также известная как Black Banshee, Velvet Chollima и Thallium) в ходе атак на правительственные учреждения Южной Кореи.
Ранее Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование Национальной кибернетической группы (Cyber National Mission Force, CNMF) (CNMF) опубликовали совместное предупреждение о вредоносной кампании, организованной северокорейской группировкой Kimsuky.
Группировка, предположительно, действует с 2012 года и занимается сбором разведданных. Основной тактикой киберпреступников является целенаправленный фишинг. Kimsuky атакует признанных экспертов в различных областях, аналитических центрах и государственных структурах Южной Кореи.
Теперь команда специалистов Nocturnus из Cybereason предоставила подробную информацию о двух новых семействах вредоносных программ, используемых Kimsuky — о ранее неизвестном модульном шпионском ПО под названием KGH_SPY и новом загрузчике вредоносных программ под названием CSPY Downloader.
KGH_SPY представляет собой модульный набор инструментов, который позволяет выполнять операции по кибершпионажу, включая разведку, кейлоггинг, кражу информации и доступ через бэкдор к скомпрометированным системам.
CSPY Downloader, с другой стороны, был разработан для защиты от обнаружения и обладает расширенными возможностями антианализа. Вредоносная программа помогает злоумышленникам определить, является ли целевая система «чистой» для дальнейшего взлома, и позволяет им развертывать дополнительные полезные нагрузки.
Шпионское ПО распространяется с помощью вредоносных документов, которые выполняют обширный анализ целевой системы. Вредонос может обеспечивать персистентность на системе, выполнять кейлоггинг, загружать дополнительные полезные нагрузки и выполнять произвольный код, помимо кражи информации из таких приложений, как Chrome, Edge, Firefox, Opera, Thunderbird, и Winscp.
Загрузчик CSPY Downloader не запускает дополнительную полезную нагрузку до тех пор, пока не будет проведена серия проверок с целью определить, работает ли ПО в виртуальной среде или присутствует ли на системе отладчик. Как показал анализ нового вредоносного ПО, злоумышленники изменили временные метки создания/компиляции своих инструментов так, чтобы они были датированы 2016 годом.
Источники править
Эта статья содержит материалы из статьи «Обнаружено новое шпионское ПО, используемое северокорейскими хакерами из Kimsuky», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.