Хакеры Kimsuky обрушили вихрь кибератак на японские организации

Недавно центр координации компьютерного реагирования Японии ( JPCERT ) подтвердил, что в марте этого года северокорейская хакерская группа Kimsuky совершила серию кибератак на японские организации. Агентство поделилось информацией с общественностью, а значит и мы с вами можем рассмотреть подробности и методы атак, выявленных экспертами.

Вредоносная кампания начинается с рассылки целевых писем с тематикой безопасности и дипломатии. Вложения содержат файлы с двойными расширениями, например, «.docx.exe» и «.docx.docx». Многочисленные пробелы в названиях файлов скрывают настоящие расширения, заставляя жертв запускать исполняемый файл под видом офисного документа, что и приводит к заражению их устройств.

После запуска файла-приманки с внешнего ресурса скачивается и выполняется VBS -файл, загружающий PowerShell и вызывающий функцию PokDoc, которая отправляет собранные данные на заданный злоумышленниками URL . Собранные данные включают информацию о системе, процессах, сетях, файлах и учётных записях пользователей.

После отправки данных создаётся и выполняется ещё один VBS-файл с именем «desktop.ini.bak». Этот файл аналогично загружает PowerShell, вызывая функцию InfoKey для работы в качестве кейлоггера. Информация о нажатиях клавиш и содержимом буфера обмена сохраняется и отправляется на удалённый сервер.

Схема атаки

Отмечается, что Kimsuky использует аналогичные методы атак, включая VBS и PowerShell, против организаций в Южной Корее. Это подтверждает, что за атакой на японские организации также стоит Kimsuky.

Несмотря на редкие сообщения о нападениях Kimsuky на японские организации, вероятность активных атак в Японии остаётся высокой. Последние отчёты указывают на использование CHM-файлов для выполнения кейлоггера, что требует повышенного внимания к подобным угрозам в будущем.