Правительство США предупредило об атаках APT-группировки Kimsuky
29 октября 2020 года
Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (ФБР) и Киберкомандование Национальной кибернетической группы (Cyber National Mission Force, CNMF) (CNMF) опубликовали совместное предупреждение о вредоносной кампании, организованной северокорейской группировкой Kimsuky.
Группировка, предположительно, действует с 2012 года и занимается сбором разведданных. Основной тактикой киберпреступников является целенаправленный фишинг. Kimsuky атакует признанных экспертов в различных областях, аналитических центрах и государственных структурах Южной Кореи.
APT использовала учетные данные web-хостинга для размещения своих вредоносных скриптов и инструментов. В доменах-жертвах преступники создали поддомены, имитирующие легитимные сайты и службы. Хакеры также отправляли целевым адресатам доброжелательные электронные письма для укрепления доверия до последующего электронного письма с вредоносным вложением или ссылкой. Kimsuky адаптирует свои подходы к дистанционному фишингу и социальной инженерии, используя темы, связанные с COVID-19, северокорейской ядерной программой или интервью для СМИ.
После получения начального доступа Kimsuky использует вредоносное ПО BabyShark и PowerShell или командную оболочку Windows. BabyShark — вредоносная программа на основе Visual Basic Script (VBS). Хакеры используют на скомпрометированной системе встроенную утилиту Microsoft Windows mshta.exe для загрузки и выполнения файла приложения HTML из удаленной системы. Затем файл HTA загружает, декодирует и выполняет закодированный файл BabyShark VBS. Скрипт поддерживает персистентность, создавая ключ реестра, который выполняется при автозапуске системы. Затем он собирает системную информацию и отправляет ее на C&C-серверы и ожидает дальнейших команд.
Kimsuky продемонстрировала способность обеспечивать себе персистентность с помощью вредоносных расширений браузера, изменения системных процессов, управления автоматическим запуском, использования протокола удаленного рабочего стола и изменения ассоциации файлов по умолчанию для приложения.
Kimsuky использует хорошо известные методы повышения привилегий. Данные методы включают размещение сценариев в папке автозагрузки, создание и запуск новых служб, изменение сопоставлений файлов по умолчанию и внедрение вредоносного кода в explorer.exe. Kimsuky использовал Win7Elevate (эксплоит из среды Metasploit) для обхода контроля учетных записей пользователей и внедрения вредоносного кода в explorer.exe. Этот вредоносный код расшифровывает набор инструментов для кейлоггинга и удаленного управления доступом, а также средств удаленного управления загрузкой и выполнением из ресурсов, независимо от операционной системы жертвы. Затем он сохраняет расшифрованный файл на диск со случайным, но зашифрованным именем во временной папке пользователя и загружает этот файл как библиотеку, гарантируя, что инструменты будут в системе даже после перезагрузки.
Источники
править| Эта статья содержит материалы из статьи «Правительство США предупредило об атаках APT-группировки Kimsuky», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
