20.03.2024 | DEEP#GOSU: как Северная Корея использует легитимный трафик для кибершпионажа в новой кампании |
ИБ-компания Securonix обнаружила новую кампанию, в ходе которой хакеры используют сложные методы для заражения компьютеров на Windows и похищения конфиденциальных данных. Кампания, получившая название DEEP#GOSU, предположительно связана с северокорейской группировкой Kimsuky. Согласно отчету Securonix, многоступенчатое вредоносное ПО обладает следующими функциями:
Одной из особенностей вредоносного ПО является способность маскироваться под легитимный трафик за счет использования Dropbox или Google Документы для управления и контроля (Command and Control, C2 ), что делает его незаметным для сетевого мониторинга, а также позволяет обновлять функционал программы или загружать дополнительные модули. В основе кампании лежит распространение вредоносных электронных писем с ZIP-архивом, который содержит документ-приманку в формате PDF. Однако в действительности, открывая документ, пользователь запускает скрипт PowerShell, который дальше связывается с Dropbox для загрузки и выполнения дополнительных вредоносных скриптов. Скрипты обладают способностью собирать данные с компьютера жертвы, включая регистрацию нажатий клавиш и мониторинг буфера обмена, что позволяет злоумышленникам перехватывать пароли и другую конфиденциальную информацию. Кроме того, для поддержания доступа к зараженным системам и управления ими, атакующие используют разнообразные техники, включая создание запланированных задач и скриптов, которые автоматически выполняются, обеспечивая длительное присутствие в системе без обнаружения. Интересно, что группа Kimsuky уже использовала подобные методы в прошлом, что подчеркивает необходимость повышенной бдительности со стороны организаций и частных лиц в защите своих данных. |
Проверить безопасность сайта