30.12.2023 | AppleSeed, Meterpreter и TinyNuke: что ещё скрывает арсенал северокорейской Kimsuky |
Южнокорейские специалисты кибербезопасности из компании ASEC обнаружили активность хакеров, связанных с Северной Кореей. Группа преступников, известная как Kimsuky, использует методы целевого фишинга для распространения разнообразных вредоносных программ, включая AppleSeed, Meterpreter и TinyNuke, с целью захвата контроля над заражёнными системами. Kimsuky, действующая уже более десяти лет, изначально была нацелена на Южную Корею, но с 2017 года расширила свою активность и на другие регионы. Группа была подвергнута санкциям со стороны США за сбор разведданных в интересах правительства КНДР. Основной метод атак Kimsuky — отправка фишинговых писем с вредоносными документами, ведущими к установке различных видов вредоносного ПО. Одним из ключевых инструментов группы является AppleSeed, DLL-вредонос, используемый с мая 2019 года. Не так давно он был дополнен версией для Android , а также новым вариантом на языке Golang , названным AlphaSeed. AppleSeed предназначен для получения команд с сервера злоумышленников, загрузки дополнительных вредоносных программ и эксфильтрации конфиденциальных данных. AlphaSeed, разработанный на Golang, использует библиотеку «chromedp» для связи с сервером управления, в отличие от AppleSeed, который использует протоколы HTTP или SMTP . Существуют данные, что Kimsuky использовала AlphaSeed в реальных атаках с октября 2022 года, причём в некоторых случаях на одну и ту же систему доставлялись как AppleSeed, так и AlphaSeed. Также злоумышленники часто применяют такие программы, как Meterpreter и VNC -программы, включая TightVNC и TinyNuke, для контроля над уже заражёнными системами. В дополнение, компания Nisos также недавно выявила деятельность северокорейских IT-специалистов, которые через фиктивные аккаунты на LinkedIn и GitHub незаконно получали удалённую работу в американских компаниях. Северокорейские хакеры в последние годы осуществили целую серию сложных атак, сочетая новые тактики и уязвимости цепочек поставок для атак на компании, работающие с блокчейном и криптовалютами. Цель таких атак остаётся неизменной даже спустя годы — в приоритете хакеров кража интеллектуальной собственности и виртуальных активов. Агрессивный характер атак Kimsuky и прочих северокорейских объединений лишь подчёркивает рвение закрытого государства обойти международные санкции и незаконно извлекать выгоду из киберпреступных схем. |
Проверить безопасность сайта